Home Sociedad La nueva red de robots DDoS de Lucifer apunta a los sistemas...

La nueva red de robots DDoS de Lucifer apunta a los sistemas de Windows

El nuevo malware llamado “Lucifer” vino con numerosos exploits para realizar la funcionalidad de criptomanía y realizar ataques de denegación de servicio distribuido (DDoS) en máquinas Windows infectadas.

El equipo de investigación de Unit42 de Palo Alto Networks identificó dos versiones de Lucifer en su investigación. (Ambas variantes llevaban el nombre “Satanás DDoS”, pero para no confundir esta amenaza con la plataforma de Satán Ransomware-as-a-Service (RaaS), Unit42 decidió llamar al malware “Lucifer”).

La primera versión del malware actuó tras una ejecución exitosa desencriptando su dirección IP de comando y control (C&C) y usando esa información para crear un objeto mutante. A continuación, aprovechó las claves de registro y las tareas programadas para establecer la persistencia antes de revisar si algún otro dato de criptografía estaba almacenado en una clave de registro. En ese momento, Lucifer habilitó el privilegio de depuración y utilizó varios hilos para desplegar su binario de criptomanía.

Lucifer llegó con varios métodos de propagación. Unit42 fue testigo del malware que aprovechaba las técnicas de fuerza bruta en caso de que detectara el puerto TCP 1433 abierto en un objetivo, por ejemplo. La amenaza también llegó con la capacidad de abusar de varias hazañas conocidas, como explicaron los investigadores en una entrada de blog:

Además de forzar las credenciales por la fuerza bruta, el malware aprovecha la explotación para la autopropagación. Para la infección de intranet, cae y ejecuta EternalBlue, EternalRomance y DoublePulsar backdoor contra el objetivo cuando éste tiene abierto el puerto TCP 445 (SMB). Una vez que se ha explotado con éxito, se utiliza el certutil para propagar el malware.

Después de lanzar sus hilos de trabajo, Lucifer se lanza en un bucle infinito para permanecer en contacto con su servidor C&C. Esta conexión permitió que el malware recibiera instrucciones con el fin de gestionar la funcionalidad de su minero y para realizar un ataque DDoS.

La segunda versión de Lucifer no era muy diferente de la primera variante vista por Unit42. Sin embargo, se destacó por la adición de capacidades anti-caja de arena y una técnica antidepurador junto con los cambios realizados en la lista de hazañas incluidas en su arsenal.

Ambas variantes de Lucifer ponen de relieve la necesidad de que las organizaciones se aseguren de que sus sistemas estén actualizados siempre que sea posible. Pueden hacerlo creando un sólido programa de gestión de la vulnerabilidad.

Con información de: HD Tecnología.