Botnet Sysrv-hello

La botnet Sysrv-hello es un proyecto malicioso, que ha sido seguido de cerca por investigadores de ciberseguridad desde diciembre de 2020.Los delincuentes detrás de esta campaña tienen como objetivo instalar un minero de criptomonedas en sistemas Windows y Linux comprometidos y luego usar sus recursos de hardware para extraer Monero. (XMR), una criptomoneda centrada en la privacidad. Monero se está utilizando para todo tipo de negocios turbios en línea en todo el mundo, y los ciberdelincuentes expresan un interés significativo en acumular la mayor cantidad posible.

La botnet Sysrv-hello, en particular, no persigue los dispositivos domésticos normales; en cambio, centra sus esfuerzos en los servidores empresariales, que probablemente tengan más potencia de procesamiento que una computadora promedio. Al recolectar estos recursos para la minería de criptomonedas, los delincuentes pueden obtener ganancias impresionantes: una de las billeteras vinculadas a la campaña Sysrv-hello Botnet tiene 12 XMR (alrededor de $ 4,000). Sin embargo, es muy probable que los piratas informáticos usen muchas otras billeteras no identificadas para almacenar su botín.

La buena noticia es que esta operación de minería de criptomonedas bastante moderna no se basa en exploits de día cero, lo que podría resultar un problema importante. En cambio, los delincuentes están escaneando servidores Linux y Windows en busca de software sin parches, que se puede explotar a través de vulnerabilidades que a menudo pueden tener algunos años. Algunos de los paquetes de software que Sysrv-hello Botnet intenta explotar son PHPUnit, Oracle WebLogic, Apache Struts, Confluence, Laravel, Jira y otros. Los administradores de red deben asegurarse de mantener sus sistemas protegidos manteniendo todos los paquetes de software actualizados, así como utilizando contraseñas seguras y siguiendo las mejores prácticas de seguridad.

En términos de funcionalidad, Sysrv-hello Botnet no hace mucho más que eliminar la carga útil del minero de criptomonedas. Al igual que otras redes de bots de este tipo, también escanea el sistema en busca de otras instancias de mineros y las finaliza para asegurarse de que ningún otro delincuente se beneficie del servidor comprometido. Por ejemplo, los proyectos más avanzados de este tipo tienden a enmascarar el uso del hardware del proceso malicioso, ocultando así el hecho de que un servicio desconocido está utilizando entre el 80 y el 90% de la potencia de procesamiento. De manera similar, algunos mineros de criptomonedas pausan sus tareas tan pronto como se abre una herramienta de monitoreo de recursos de hardware, otro truco fácil de engañar para evitar ser detectados. Afortunadamente, Sysrv-hello Botnet no hace esas cosas, y los administradores de sistemas expertos deberían poder identificar y mitigar fácilmente la amenaza mediante la eliminación manual o mediante el uso de un software antivirus de buena reputación.