Cryptominage et DDoS, le botnet Lucifer enflamme les PC Windows
Des chercheurs ont découvert un malware, nommé Lucifer, qui attaque des systèmes windows pour les asservir dans un botnet. Ce dernier est polyvalent et pourrait mener à la fois des attaques DDoS ou activer des cryptomineurs.
L'unité 42 de Palo Alto Networks a découvert un botnet actif qui exploite une douzaine d'exploits comprenant des vulnérabilités critiques dans les systèmes Windows. Cette armée de PC zombies a pour nom Lucifer. Les chercheurs voulaient au départ l'appeler Satan DDoS, mais il y avait un risque de confusion avec le ransomware du même nom.
Lucifer a attiré l'intérêt des experts en sécurité de Palo Alto à la suite de plusieurs incidents impliquant la vulnérabilité critique CVE-2019-9081 dans le framework Laravel autorisant l'exécution de code à distance. Une variante de Lucifer a été trouvée le 29 mai pour mener des campagnes jusqu'au 10 juin. Puis une version actualisée du botnet a été mise en place dès le 11 juin. Dans son bagage d'exploits, Lucifer s'appuie sur la boîte à outils dévoilé par les Shadow Brokers : EternalBlue, EternalRomance et DoublePulsar. Le catalogue d'exploits comprend aussi une douzaine de failles a priori toutes corrigées.
Un botnet en cours de création, mais déjà polyvalent
Reste la question des cibles du botnet. Au départ, l'unité 42 de Palo Alto pensait que Lucifer servait uniquement au cryptominage. Mais avec le temps, il est apparu que le botnet comprenait une composante pour mener des attaques en déni de service, ainsi qu'un mécanisme d'auto-diffusion en s'appuyant sur des failles critiques et de la force brute. Sur ce dernier point, Lucifer utilise un dictionnaire de 300 mots de passe et de seulement 7 noms d'utilisateur : « sa », « SA », « su », « kisadmin », « SQLDebugger », « mssql » et « Chred1433 ».
Les experts de Palo Alto considère Lucifer comme un botnet hybride et polyvalent, qui en est à ses débuts. En utilisant des vulnérabilités un peu anciennes et en réalisant des scans de ports TCP 135 (RPC) et 1433 (MSSQL), il cherche des machines non mises à jour pour les infecter et les enrôler. A noter que la dernière version du botnet est dotée d'une protection anti-analyse et vérifie le nom de l'utilisateur et du PC infecté avant de poursuivre. S'il trouve des noms suspects (propre à des logiciels d'analyses), son activité cesse.