Uma nova versão do botnet Lucifer está atacando organizações que utilizam as tecnologias big data Apache Hadoop e Apache Druid. O botnet combina recursos de mineração de criptomoedas (cryptojacking) e ataques de negação de serviço distribuído (DDoS).

Essa campanha representa uma mudança de foco para o botnet, e uma análise recente da Aqua Nautilus sugere que seus operadores estão testando novas rotinas de infecção como precursor de um ataque mais amplo.

O Lucifer é um malware autopropagante identificado pela primeira vez em maio de 2020. Na época, a empresa Palo Alto Networks descreveu a ameaça como um malware híbrido perigoso que poderia ser usado para realizar ataques DDoS ou instalar o XMRig para minerar criptomoedas Monero.

A Palo Alto também observou que os hackers usavam o Lucifer para implantar os malwares EternalBlue, EternalRomance e DoublePulsar da NSA em sistemas alvo. Agora, o botnet está de volta e visando servidores Apache.

A campanha do Lucifer está em andamento há pelo menos seis meses, período em que os hackers têm tentado explorar falhas de configuração e vulnerabilidades conhecidas nas plataformas de código aberto para implantar seu malware. Até agora, a campanha compreende três fases distintas, o que, segundo os pesquisadores, provavelmente indica que o adversário está testando técnicas de evasão de defesa antes de um ataque em larga escala.