Lucifer Botnet Malware utilizado para plantar criptomineros y lanzar ataques DDoSahora puede apuntar a dispositivos Linux

Lucifer, una botnet que ha estado infectando dispositivos Windows con criptomineros y utilizando sistemas comprometidos para ataques distribuidos de denegación de servicio, ahora también tiene la capacidad de comprometer sistemas basados ​​en Linux. Los investigadores de la Unidad 42 de Palo Alto Network se dieron cuenta por primera vez de la botnet Lucifer en junio, y señalaron que […]

Lucifer, una botnet que ha estado infectando dispositivos Windows con criptomineros y utilizando sistemas comprometidos para ataques distribuidos de denegación de servicio, ahora también tiene la capacidad de comprometer sistemas basados ​​en Linux.

Los investigadores de la Unidad 42 de Palo Alto Network se dieron cuenta por primera vez de la botnet Lucifer en junio, y señalaron que el malware se aprovecha de numerosas vulnerabilidades sin parches en los dispositivos Windows, lo que luego permite a los atacantes ejecutar código arbitrario.

Una vez que un dispositivo se ve comprometido, la botnet puede plantar malware XMRig para extraer criptomonedas monero, así como usar estos dispositivos para lanzar ataques DDoS contra objetivos, según la Unidad 42. XMRig es cada vez más popular entre los ciberdelincuentes que buscan minar monedas virtuales ilegalmente.

Ahora, los operadores detrás de la botnet Lucifer han creado una versión que puede apuntar a sistemas Linux, lo que puede aumentar la capacidad de los atacantes para lanzar ataques DDoS, incluidos ataques de inundación basados ​​en ICMP, TCP y UDP, según Netscout.

“El hecho de que pueda ejecutarse en sistemas basados ​​en Linux significa que potencialmente puede comprometer y hacer uso de servidores de alto rendimiento y ancho de banda en los centros de datos de Internet, y cada nodo tiene un impacto mayor en términos de capacidad de ataque DDoS que típico de la mayoría de los bots que se ejecutan en dispositivos Linux basados ​​en Windows o IoT “, señalan los investigadores de Netscout en un informe publicado la semana pasada.

“A primera vista, un robot híbrido de criptojacker / DDoS parece un poco inusual”, señalan los investigadores. “Sin embargo, dada la prevalencia de los ataques DDoS en el ámbito de la criptominería ilícita, tiene un extraño sentido tener un bot ‘único’. Esto permite a los controladores satisfacer sus necesidades de una sola vez en lugar de obligarlos a usar booter / Stresser Services u otras botnets DDoS para frustrar el progreso de sus malhechores rivales “.

Otras capacidades

Los investigadores de Netscout también encontraron que la versión actualizada de Lucifer diseñada para Windows tiene capacidades adicionales. Ahora también planta Mimikatz, un script de PowerShell que se usa para robar credenciales y escalar privilegios dentro de dispositivos Windows comprometidos.

Cuando la Unidad 42 descubrió Lucifer por primera vez, los investigadores descubrieron que la botnet utilizaba métodos de fuerza bruta dirigidos a puertos vulnerables para adivinar combinaciones de nombres de usuario y contraseñas para iniciar el ataque inicial. El malware también se aprovechará de exploits bien conocidos, como EternalBlue , para permitirle ejecutar código arbitrario dentro del dispositivo comprometido.

Cuando Netscout estaba realizando su propia investigación, pudo vincular las versiones más recientes de Lucifer para Linux con la versión creada para Windows porque ambas variantes de malware usaban la misma infraestructura de comando y control, según el nuevo informe.

“La adición de la versión de Linux aumenta su capacidad para recolectar sistemas adicionales en su botnet”, señala el informe de Netscout. “Además, la adición de los nuevos archivos de recursos junto con la versión de Linux sugiere que los autores todavía están trabajando activamente en nuevas funciones para aumentar la penetración y expandir su huella”.

Otras botnets, como Kaiji, que los investigadores descubrieron en abril, también parecen estar diseñadas para apuntar a sistemas basados ​​en Linux.