Le botnet Sysrv-K tente d'exploiter la cryptographie sur les appareils victimes
Le botnet Sysrv existe depuis un certain temps maintenant, mais les chercheurs en sécurité ont identifié une nouvelle souche mise à jour de l'outil malveillant. La nouvelle version a été baptisée Sysrv-K et cible à la fois les systèmes Windows et Linux, ainsi que le matériel de serveur Web.
La nouvelle version de Sysrv analyse les serveurs Web publics qui exécutent encore des logiciels présentant des vulnérabilités non corrigées, puis exploite ces failles de sécurité. Une fois que le logiciel malveillant a fait son chemin sur un appareil compromis, il lance un outil malveillant de cryptominage qui commence à abuser des ressources de l'appareil victime pour extraire la crypto-monnaie Monero.
En plus de l'outil de cryptominage déployé, Sysrv-K peut accéder aux fichiers de configuration de WordPress et en extraire les identifiants de connexion. Les informations d'identification sont à leur tour utilisées pour donner aux acteurs de la menace exploitant le contrôle du botnet sur le serveur Web ciblé.
La nouvelle souche du botnet Sysrv est toujours capable de rechercher des adresses IP, des clés SSH et des noms d'hôte sur des appareils compromis et d'utiliser ces informations pour propager le botnet sur SSH. Les propriétaires de serveurs sont invités à mettre à jour tous les logiciels et applications pertinents dès que possible pour éviter les infections et l'abus des ressources système.
Sysrv existe depuis près de deux ans, d'abord détaillés par des chercheurs fin 2020. Le malware a reçu plusieurs mises à jour depuis lors et cette nouvelle version montre que l'acteur de la menace derrière Sysrv n'en a pas fini avec le botnet de loin.