Sysrv-hallo Botnet

Das Sysrv-hello-Botnetz ist ein bösartiges Projekt, das seit Dezember 2020 von Cybersicherheitsforschern genau verfolgt wird. Die Kriminellen hinter dieser Kampagne wollen einen Cryptocurrency Miner auf kompromittierten Windows- und Linux-Systemen installieren und dann ihre Hardwareressourcen für Monero nutzen (XMR,) eine datenschutzorientierte Kryptowährung. Monero wird für alle Arten von zwielichtigen Online-Deals auf der ganzen Welt verwendet, und Cyberkriminelle zeigen großes Interesse daran, so viel wie möglich davon anzuhäufen.

Insbesondere das Sysrv-hello-Botnetz strebt nicht nach normalen Heimgeräten, sondern konzentriert sich auf Unternehmensserver, die wahrscheinlich mehr Rechenleistung als ein durchschnittlicher Computer bieten. Durch die Ernte dieser Ressourcen für das Cryptocurrency Mining können die Kriminellen einen beeindruckenden Gewinn erzielen - eine der mit der Sysrv-hello Botnet-Kampagne verbundenen Brieftaschen verfügt über 12 XMR (ca. 4.000 US-Dollar). Es ist jedoch sehr wahrscheinlich, dass die Hacker viele andere nicht identifizierte Brieftaschen verwenden Speichern Sie ihre Beute.

Die gute Nachricht ist, dass dieser ziemlich moderne Cryptocurrency-Mining-Vorgang nicht auf Zero-Day-Exploits beruht, was sich als großes Problem herausstellen könnte. Stattdessen durchsuchen die Kriminellen Linux- und Windows-Server nach nicht gepatchter Software, die durch Sicherheitslücken ausgenutzt werden kann, die oft einige Jahre alt sind. Einige der Softwarepakete, die das Sysrv-hello Botnet zu nutzen versucht, sind PHPUnit, Oracle WebLogic, Apache Struts, Confluence, Laravel, Jira und andere. Netzwerkadministratoren müssen sicherstellen, dass ihre Systeme geschützt sind, indem sie alle Softwarepakete auf dem neuesten Stand halten, sichere Kennwörter verwenden und die besten Sicherheitspraktiken befolgen.

In Bezug auf die Funktionalität macht das Sysrv-hello-Botnetz nicht viel, außer dass die Cryptocurrency Miner-Nutzdaten gelöscht werden. Genau wie bei anderen Botnetzen dieses Typs wird auch das System nach anderen Miner-Instanzen durchsucht und beendet, um sicherzustellen, dass keine anderen Kriminellen von dem gefährdeten Server profitieren. Beispielsweise tendieren fortgeschrittenere Projekte dieses Typs dazu, die Hardware-Nutzung des böswilligen Prozesses zu maskieren, wodurch die Tatsache verborgen wird, dass ein unbekannter Dienst 80-90% der Verarbeitungsleistung verbraucht. In ähnlicher Weise unterbrechen einige Cryptocurrency Miner ihre Aufgaben, sobald ein Tool zur Überwachung von Hardwareressourcen geöffnet ist - ein weiterer einfacher Trick, um nicht erkannt zu werden. Zum Glück macht das Sysrv-hello Botnet solche Dinge nicht, und sachkundige Systemadministratoren sollten in der Lage sein, die Bedrohung durch manuelles Entfernen oder mithilfe seriöser Antivirensoftware leicht zu identifizieren und zu mindern.