Sysrv-hello Botnet
Le botnet Sysrv-hello est un projet malveillant, qui a été suivi de près par des chercheurs en cybersécurité depuis décembre 2020. Les criminels derrière cette campagne visent à installer un mineur de crypto-monnaie sur des systèmes Windows et Linux compromis, puis à utiliser leurs ressources matérielles pour exploiter Monero. (XMR,) une crypto-monnaie axée sur la confidentialité. Monero est utilisé pour toutes sortes d'offres en ligne louches à travers le monde, et les cybercriminels manifestent un intérêt significatif pour en accumuler autant que possible.
Le botnet Sysrv-hello, en particulier, ne s'attaque pas aux appareils domestiques ordinaires - au lieu de cela, il concentre ses efforts sur les serveurs d'entreprise, qui sont susceptibles de fournir plus de puissance de traitement que votre ordinateur moyen. En récoltant ces ressources pour l'extraction de crypto-monnaie, les criminels peuvent dégager des bénéfices impressionnants - l'un des portefeuilles liés à la campagne Sysrv-hello Botnet a 12 XMR (environ 4000 $.) Cependant, il est très probable que les pirates utilisent de nombreux autres portefeuilles non identifiés pour stocker leur butin.
La bonne nouvelle est que cette opération d'extraction de crypto-monnaie assez moderne ne repose pas sur des exploits zero-day, ce qui pourrait s'avérer être un problème majeur. Au lieu de cela, les criminels analysent les serveurs Linux et Windows à la recherche de logiciels non corrigés, qui sont exploitables grâce à des vulnérabilités qui peuvent souvent remonter à quelques années. Certains des logiciels que le botnet Sysrv-hello essaie d'exploiter sont PHPUnit, Oracle WebLogic, Apache Struts, Confluence, Laravel, Jira et d'autres. Les administrateurs réseau doivent veiller à protéger leurs systèmes en gardant tous les progiciels à jour, en utilisant des mots de passe forts et en suivant les meilleures pratiques de sécurité.
En termes de fonctionnalités, le botnet Sysrv-hello ne fait pas grand-chose en plus d'abandonner la charge utile du mineur de crypto-monnaie. Tout comme les autres botnets de ce type, il analyse également le système à la recherche d'autres instances de mineur et les met fin pour s'assurer qu'aucun autre criminel ne profitera du serveur compromis. Par exemple, les projets plus avancés de ce type ont tendance à masquer l'utilisation matérielle du processus malveillant, masquant ainsi le fait qu'un service inconnu utilise 80 à 90% de la puissance de traitement. De la même manière, certains mineurs de crypto-monnaie suspendent leurs tâches dès qu'un outil de surveillance des ressources matérielles est ouvert - une autre astuce facile à tromper pour éviter d'être détecté. Heureusement, le botnet Sysrv-hello ne fait pas de telles choses, et les administrateurs système compétents devraient être en mesure d'identifier et d'atténuer facilement la menace via une suppression manuelle ou en utilisant un logiciel antivirus réputé.