A Sysrv-K botnet megpróbálja kibányászni a kriptot az áldozati eszközökön

A Sysrv botnet már egy ideje létezik, de a biztonsági kutatók a rosszindulatú eszköz új, frissített törzsét azonosították. Az új verzió a Sysrv-K nevet kapta, és mind a Windows, mind a Linux rendszereket, valamint a webszerver hardvert célozza meg.

A Sysrv új verziója átvizsgálja azokat a nyilvános webszervereket, amelyeken még nem javított sebezhetőségű szoftver fut, majd kihasználja ezeket a biztonsági hibákat. Amint a rosszindulatú program utat tör magának egy feltört eszközön, elindít egy kriptográfiai rosszindulatú eszközt, amely visszaél az áldozat eszközének erőforrásaival, hogy Monero kriptovalutát bányászhasson.

A telepített kriptográfiai eszköz mellett a Sysrv-K hozzáférhet a WordPress konfigurációs fájljaihoz, és kivonhatja belőlük a bejelentkezési adatokat. A hitelesítési adatok pedig arra szolgálnak, hogy a botnetet üzemeltető fenyegetés szereplői irányítsák a megcélzott webszervert.

A Sysrv botnet új törzse továbbra is képes IP-címeket, SSH-kulcsokat és gazdagépneveket keresni a feltört eszközökön, és ezeket az információkat felhasználni a botnet SSH-n keresztüli terjesztésére. A szervertulajdonosokat arra kérik, hogy a lehető leghamarabb frissítsék az összes vonatkozó szoftvert és alkalmazást a fertőzések és a rendszererőforrás-visszaélések elkerülése érdekében.

A Sysrv közel két éve létezik, először 2020 végén részletezték a kutatók. A kártevő azóta többször is frissítést kapott, és ez az új verzió azt mutatja, hogy a Sysrv mögött álló fenyegetettség szereplője távolról sem végzett a botnettel.