Cryptominage et DDoS, le botnet Lucifer enflamme les PC Windows

le 29/06/2020, par Jacques Cheminat, Sécurité, 382 mots

Des chercheurs ont découvert un malware, nommé Lucifer, qui attaque des systèmes windows pour les asservir dans un botnet. Ce dernier est polyvalent et pourrait mener à la fois des attaques DDoS ou activer des cryptomineurs.

Cryptominage et DDoS, le botnet Lucifer enflamme les PC Windows

L'unité 42 de Palo Alto Networks a découvert un botnet actif qui exploite une douzaine d'exploits comprenant des vulnérabilités critiques dans les systèmes Windows. Cette armée de PC zombies a pour nom Lucifer. Les chercheurs voulaient au départ l'appeler Satan DDoS, mais il y avait un risque de confusion avec le ransomware du même nom.

Lucifer a attiré l'intérêt des experts en sécurité de Palo Alto à la suite de plusieurs incidents impliquant la vulnérabilité critique CVE-2019-9081 dans le framework Laravel autorisant l'exécution de code à distance. Une variante de Lucifer a été trouvée le 29 mai pour mener des campagnes jusqu'au 10 juin. Puis une version actualisée du botnet a été mise en place dès le 11 juin. Dans son bagage d'exploits, Lucifer s'appuie sur la boîte à outils dévoilé par les Shadow Brokers : EternalBlue, EternalRomance et DoublePulsar. Le catalogue d'exploits comprend aussi une douzaine de failles a priori toutes corrigées.

Un botnet en cours de création, mais déjà polyvalent

Reste la question des cibles du botnet. Au départ, l'unité 42 de Palo Alto pensait que Lucifer servait uniquement au cryptominage. Mais avec le temps, il est apparu que le botnet comprenait une composante pour mener des attaques en déni de service, ainsi qu'un mécanisme d'auto-diffusion en s'appuyant sur des failles critiques et de la force brute. Sur ce dernier point, Lucifer utilise un dictionnaire de 300 mots de passe et de seulement 7 noms d'utilisateur : « sa », « SA », « su », « kisadmin », « SQLDebugger », « mssql » et « Chred1433 ».

Les experts de Palo Alto considère Lucifer comme un botnet hybride et polyvalent, qui en est à ses débuts. En utilisant des vulnérabilités un peu anciennes et en réalisant des scans de ports TCP 135 (RPC) et 1433 (MSSQL), il cherche des machines non mises à jour pour les infecter et les enrôler. A noter que la dernière version du botnet est dotée d'une protection anti-analyse et vérifie le nom de l'utilisateur et du PC infecté avant de poursuivre. S'il trouve des noms suspects (propre à des logiciels d'analyses), son activité cesse.

Awake Security racheté par Arista Networks

L'équipementier réseau Arista Networks a annoncé racheter Awake Security, spécialiste de la détection des menaces réseaux. Présente à plusieurs niveaux, la cybersécurité est devenue un maillon essentielle des...

le 29/09/2020, par Jacques Cheminat, 287 mots

Des mises à jour urgentes pour Cisco IOS et IOS XE

Cette semaine, Cisco pousse pas moins de 25 avis de sécurité concernant 34 vulnérabilités jugées élevées qui devraient être corrigées immédiatement. Les administrateurs sécurité gérant des systèmes utilisant...

le 28/09/2020, par Michael Cooney, Network World (adaptation Jean Elyan), 682 mots

Un service threat intelligence baptisé Chronicle Detect chez Google

Google étend ses services en détection avancée des cybermenaces avec son dernier service de cybersécurité Chronicle Detect. Son moteur de règles basé sur YARA permet de concevoir des scénarios de lutte que...

le 24/09/2020, par Dominique Filippone, 474 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...