Sysrv-K Botnet forsøger at udvinde krypto på offerenheder

Sysrv-botnettet har eksisteret i et stykke tid nu, men sikkerhedsforskere har identificeret en ny, opdateret stamme af det ondsindede værktøj. Den nye version er blevet døbt Sysrv-K, og den er rettet mod både Windows- og Linux-systemer samt webserverhardware.

Den nye version af Sysrv scanner offentlige webservere, der stadig kører software, der har uoprettede sårbarheder, og udnytter derefter disse sikkerhedsfejl. Når malwaren finder vej på en kompromitteret enhed, lancerer den et ondsindet kryptominerværktøj, der begynder at misbruge offerenhedens ressourcer til at mine efter Monero-kryptovaluta.

Ud over det implementerede kryptominerværktøj kan Sysrv-K få adgang til WordPress-konfigurationsfiler og udtrække loginoplysninger fra dem. Oplysningsoplysningerne bruges igen til at give trusselsaktørerne, der driver botnettet, kontrol over den målrettede webserver.

Den nye stamme af Sysrv-botnettet er stadig i stand til at scanne efter IP-adresser, SSH-nøgler og værtsnavne på kompromitterede enheder og bruge disse oplysninger til at udbrede botnettet over SSH. Serverejere opfordres til at opdatere al relevant software og applikationer så hurtigt som muligt for at undgå infektion og misbrug af systemressourcer.

Sysrv har eksisteret i næsten to år, først detaljeret af forskere i slutningen af 2020. Malwaren har modtaget adskillige opdateringer siden da, og denne nye version viser, at trusselsaktøren bag Sysrv ikke er færdig med botnettet ved et langt skud.