Das Sysrv-K-Botnetz versucht, Krypto auf Opfergeräten zu schürfen
Das Sysrv-Botnet gibt es schon seit einiger Zeit, aber Sicherheitsforscher haben einen neuen, aktualisierten Stamm des bösartigen Tools identifiziert. Die neue Version wurde Sysrv-K genannt und zielt sowohl auf Windows- als auch auf Linux-Systeme sowie auf Webserver-Hardware ab.
Die neue Version von Sysrv scannt öffentlich zugängliche Webserver, auf denen noch Software mit ungepatchten Schwachstellen ausgeführt wird, und nutzt dann diese Sicherheitslücken aus. Sobald die Malware auf ein kompromittiertes Gerät gelangt, startet sie ein bösartiges Cryptominer-Tool, das beginnt, die Ressourcen des Opfergeräts zu missbrauchen, um nach der Kryptowährung Monero zu schürfen.
Zusätzlich zum bereitgestellten Cryptominer-Tool kann Sysrv-K auf WordPress-Konfigurationsdateien zugreifen und Anmeldeinformationen daraus extrahieren. Die Anmeldeinformationen werden wiederum verwendet, um den Bedrohungsakteuren, die das Botnet betreiben, die Kontrolle über den angegriffenen Webserver zu geben.
Der neue Stamm des Sysrv-Botnetzes ist immer noch in der Lage, IP-Adressen, SSH-Schlüssel und Hostnamen auf kompromittierten Geräten zu scannen und diese Informationen zu verwenden, um das Botnetz über SSH zu verbreiten. Serverbesitzer werden dringend gebeten, alle relevanten Software und Anwendungen so schnell wie möglich zu aktualisieren, um Infektionen und Missbrauch von Systemressourcen zu vermeiden.
Sysrv gibt es seit fast zwei Jahren und wurde erstmals Ende 2020 von Forschern detailliert beschrieben. Die Malware wurde seitdem mehrfach aktualisiert, und diese neue Version zeigt, dass der Bedrohungsakteur hinter Sysrv noch lange nicht mit dem Botnetz fertig ist.