Cryptominage et DDoS, le botnet Lucifer enflamme les PC Windows - Actualités RT Sécurité

Cryptominage et DDoS, le botnet Lucifer enflamme les PC Windows

le 29/06/2020, par Jacques Cheminat, Sécurité, 382 mots

Des chercheurs ont découvert un malware, nommé Lucifer, qui attaque des systèmes windows pour les asservir dans un botnet. Ce dernier est polyvalent et pourrait mener à la fois des attaques DDoS ou activer des cryptomineurs.

Cryptominage et DDoS, le botnet Lucifer enflamme les PC Windows

L'unité 42 de Palo Alto Networks a découvert un botnet actif qui exploite une douzaine d'exploits comprenant des vulnérabilités critiques dans les systèmes Windows. Cette armée de PC zombies a pour nom Lucifer. Les chercheurs voulaient au départ l'appeler Satan DDoS, mais il y avait un risque de confusion avec le ransomware du même nom.

Lucifer a attiré l'intérêt des experts en sécurité de Palo Alto à la suite de plusieurs incidents impliquant la vulnérabilité critique CVE-2019-9081 dans le framework Laravel autorisant l'exécution de code à distance. Une variante de Lucifer a été trouvée le 29 mai pour mener des campagnes jusqu'au 10 juin. Puis une version actualisée du botnet a été mise en place dès le 11 juin. Dans son bagage d'exploits, Lucifer s'appuie sur la boîte à outils dévoilé par les Shadow Brokers : EternalBlue, EternalRomance et DoublePulsar. Le catalogue d'exploits comprend aussi une douzaine de failles a priori toutes corrigées.

Un botnet en cours de création, mais déjà polyvalent

Reste la question des cibles du botnet. Au départ, l'unité 42 de Palo Alto pensait que Lucifer servait uniquement au cryptominage. Mais avec le temps, il est apparu que le botnet comprenait une composante pour mener des attaques en déni de service, ainsi qu'un mécanisme d'auto-diffusion en s'appuyant sur des failles critiques et de la force brute. Sur ce dernier point, Lucifer utilise un dictionnaire de 300 mots de passe et de seulement 7 noms d'utilisateur : « sa », « SA », « su », « kisadmin », « SQLDebugger », « mssql » et « Chred1433 ».

Les experts de Palo Alto considère Lucifer comme un botnet hybride et polyvalent, qui en est à ses débuts. En utilisant des vulnérabilités un peu anciennes et en réalisant des scans de ports TCP 135 (RPC) et 1433 (MSSQL), il cherche des machines non mises à jour pour les infecter et les enrôler. A noter que la dernière version du botnet est dotée d'une protection anti-analyse et vérifie le nom de l'utilisateur et du PC infecté avant de poursuivre. S'il trouve des noms suspects (propre à des logiciels d'analyses), son activité cesse.

Renforcer la sécurité de son VPN

Le travail à distance des employés oblige les entreprises à fournir des solutions de connexions sécurisées en VPN. Mais pour minimiser les vulnérabilités, il faut bien les configurer. Voilà 5 points de...

le 29/07/2020, par Susan Bradley, IDG NS (adaptation Jean Elyan), 1211 mots

Comment les fabricants de routeurs SoHo ont failli en matière de...

Dans chacun des 127 routeurs qu'il a examinés, l'Institut Fraunhofer a découvert 53 vulnérabilités critiques en moyenne. Aucun appareil n'était totalement protégé. Voilà des années que l'on sait que les...

le 24/07/2020, par Mark Hachman, PC World (adaptation Jean Elyan), 1307 mots

Mozilla déploie un service VPN payant pour Firefox

Avec Mozilla VPN, l'éditeur de Firefox cherche à tirer plus de revenus de son navigateur. Le réseau privé virtuel pour Windows et Android est en cours de déploiement aux États-Unis, au Canada, au Royaume-Uni...

le 21/07/2020, par Gregg Keizer, Computerworld (adapté par Jean Elyan), 690 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...