Спецпроекты

Гибридный ботнет для Windows научился захватывать Linux-системы

Безопасность

Ботнеты редко сочетают функции DDoS и криптомайнеров, но Lucifer — как раз такой случай. Ранее он специализировался только на Windows, но теперь может атаковать и Linux. Эксперт подозревают, что его разработали для компрометации систем в дата-центрах.

Расширенный динамический диапазон

Гибридный ботнет, ранее специализировавшийся на установке криптомайнеров на системы под Windows, теперь активно заражает и машины под Linux.

Впервые замеченный в мае 2020 г., ботнет атакует системы под Windows с помощью эксплойтов для нескольких высокоопасных и критических уязвимостей в Windows, а также посредством брутфорса на открытые порты TCP 135 (RPC) и 1433 (MSSQL). Он также снабжен функциональностью для осуществления DDoS-атак. На взломанную таким образом систему устанавливаются средства генерации криптовалюты Monero (XMRig).

Новая версия, атакующая Linux, аналогично нацелена на установку криптомайнеров и запуск DDoS-атак через протоколы TCP, UCP, ICMP, а также атак через HTTP.

Функциональность, связанная с Windows, тоже расширилась: теперь вредонос может красть реквизиты доступа и распространять вредонос по локальным сетям с помощью печально известного скрипта Mimikatz.

Дата-центры в прицеле?

Исследователи компании Netscout, проанализировавшие новую версию ботнета, отметили, что теперь он в теории может компрометировать дата-центры и использовать их мощности — вычислительные ресурсы и каналы связи — для организации особо мощных атак.

Гибридный ботнет обратил внимание на системы под Linux

«Обычно Linux-ботнеты состоят из плохо защищенных IoT-устройств с массой уязвимостей; таких устройств в Сети великое множество, но большинство из них обладают малой мощностью и используют каналы связи с малой пропускной способностью, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Скомпрометированный сервер в ЦОД — это совсем другой уровень мощностей, и, соответственно, возможностей и для криптомайнинга, и для DDoS-атак. В случае, если этот ботнет покажет, что гибридная модель DDoS-криптоджекер себя оправдывает, его аналоги начнут плодиться как грибы после дождя».