La botnet Sysrv-K intenta minar criptomonedas en los dispositivos de las víctimas
La botnet Sysrv existe desde hace un tiempo, pero los investigadores de seguridad han identificado una nueva cepa actualizada de la herramienta maliciosa. La nueva versión se ha denominado Sysrv-K y está dirigida a sistemas Windows y Linux, así como al hardware del servidor web.
La nueva versión de Sysrv analiza los servidores web públicos que aún ejecutan software que tiene vulnerabilidades sin parches y luego explota esas fallas de seguridad. Una vez que el malware llega a un dispositivo comprometido, lanza una herramienta maliciosa de criptominería que comienza a abusar de los recursos del dispositivo de la víctima para extraer la criptomoneda Monero.
Además de la herramienta cryptominer implementada, Sysrv-K puede acceder a los archivos de configuración de WordPress y extraer las credenciales de inicio de sesión de ellos. Las credenciales, a su vez, se utilizan para dar a los actores de amenazas que operan la red de bots control sobre el servidor web de destino.
La nueva cepa de la red de bots Sysrv todavía es capaz de buscar direcciones IP, claves SSH y nombres de host en dispositivos comprometidos y usar esta información para propagar la red de bots a través de SSH. Se insta a los propietarios de servidores a actualizar todo el software y las aplicaciones pertinentes lo antes posible para evitar infecciones y el abuso de los recursos del sistema.
Sysrv ha existido durante casi dos años, detallado por primera vez por los investigadores a fines de 2020. El malware ha recibido múltiples actualizaciones desde entonces y esta nueva versión muestra que el actor de amenazas detrás de Sysrv no ha terminado con la red de bots ni mucho menos.