Το Sysrv-K Botnet προσπαθεί να εξορύξει κρυπτογράφηση σε συσκευές θυμάτων

Το botnet Sysrv υπάρχει εδώ και καιρό, αλλά οι ερευνητές ασφαλείας εντόπισαν ένα νέο, ενημερωμένο στέλεχος του κακόβουλου εργαλείου. Η νέα έκδοση έχει ονομαστεί Sysrv-K και στοχεύει τόσο σε συστήματα Windows όσο και Linux, καθώς και σε υλικό διακομιστή ιστού.

Η νέα έκδοση του Sysrv σαρώνει διακομιστές ιστού που αντιμετωπίζουν το κοινό που εξακολουθούν να εκτελούν λογισμικό που έχει μη επιδιορθωμένα τρωτά σημεία και, στη συνέχεια, εκμεταλλεύεται αυτά τα ελαττώματα ασφαλείας. Μόλις το κακόβουλο λογισμικό κάνει το δρόμο του σε μια παραβιασμένη συσκευή, εκκινεί ένα κακόβουλο εργαλείο cryptominer που αρχίζει να καταχράται τους πόρους της συσκευής-θύματος για εξόρυξη κρυπτονομίσματος Monero.

Εκτός από το εργαλείο cryptominer που έχει αναπτυχθεί, το Sysrv-K μπορεί να έχει πρόσβαση στα αρχεία διαμόρφωσης του WordPress και να εξάγει τα διαπιστευτήρια σύνδεσης από αυτά. Τα διαπιστευτήρια με τη σειρά τους χρησιμοποιούνται για να δώσουν στους φορείς απειλών που λειτουργούν το botnet τον έλεγχο του στοχευμένου διακομιστή ιστού.

Το νέο στέλεχος του botnet Sysrv εξακολουθεί να μπορεί να σαρώνει για διευθύνσεις IP, κλειδιά SSH και ονόματα κεντρικών υπολογιστών σε παραβιασμένες συσκευές και να χρησιμοποιεί αυτές τις πληροφορίες για τη διάδοση του botnet μέσω SSH. Οι ιδιοκτήτες διακομιστών προτρέπονται να ενημερώσουν όλο το σχετικό λογισμικό και εφαρμογές το συντομότερο δυνατό για να αποφευχθεί η μόλυνση και η κατάχρηση πόρων του συστήματος.

Το Sysrv υπάρχει εδώ και σχεδόν δύο χρόνια, για πρώτη φορά που αναλύθηκε από ερευνητές στα τέλη του 2020. Το κακόβουλο λογισμικό έχει λάβει πολλές ενημερώσεις από τότε και αυτή η νέα έκδοση δείχνει ότι ο παράγοντας απειλής πίσω από το Sysrv δεν έχει τελειώσει με το botnet με μεγάλη ευκαιρία.