Sysrv-hello Botnet

A Sysrv-hello Botnet egy rosszindulatú projekt, amelyet a kiberbiztonsági kutatók szorosan nyomon követnek 2020 decembere óta. A kampány bűnözői egy kriptovaluta-bányász telepítését célozzák meg a veszélyeztetett Windows és Linux rendszereken, majd hardveres erőforrásaikat felhasználva Monero-hoz bányásznak. (XMR,) adatvédelemre összpontosító kriptovaluta. A Monero-t mindenféle árnyékos online ügylethez használják szerte a világon, és a kiberbűnözők jelentős érdeklődést mutatnak a lehető legnagyobb mennyiségű felhalmozás iránt.

Különösen a Sysrv-hello Botnet nem követi a szokásos otthoni eszközöket - ehelyett erőfeszítéseit a vállalati szerverekre összpontosítja, amelyek valószínűleg nagyobb feldolgozási teljesítményt fognak csomagolni, mint egy átlagos számítógép. Ezeknek az erőforrásoknak a kriptovaluta bányászat céljából történő betakarításával a bűnözők lenyűgöző profitot érhetnek el - a Sysrv-hello Botnet kampányhoz kapcsolódó egyik pénztárca 12 XMR-rel (kb. 4000 USD) rendelkezik. Nagyon valószínű azonban, hogy a hackerek sok más, azonosítatlan pénztárcát használnak tárolják zsákmányukat.

Jó hír, hogy ez a meglehetősen modern kriptovaluta-bányászati művelet nem a nulla napos kihasználásokra támaszkodik, ami fontos kérdésnek bizonyulhat. Ehelyett a bűnözők a Linux és a Windows szervereken keresik a nem javított szoftvereket, amelyek kihasználhatók olyan sérülékenységeken keresztül, amelyek gyakran néhány évesek lehetnek. Néhány szoftvercsomag, amelyet a Sysrv-hello Botnet megpróbál kihasználni, a PHPUnit, az Oracle WebLogic, az Apache Struts, a Confluence, a Laravel, a Jira és mások. A rendszergazdáknak gondoskodniuk kell a rendszereik védelméről az összes szoftvercsomag naprakészen tartásával, valamint erős jelszavak használatával és a legjobb biztonsági gyakorlatok betartásával.

A funkcionalitás szempontjából a Sysrv-hello Botnet nem sokat tesz azon túl, hogy ledobja a kriptovaluta bányász hasznos terheit. Csakúgy, mint más ilyen típusú botnetek, ez is átkutatja a rendszert más bányászpéldányok után és megszünteti azokat annak biztosítása érdekében, hogy más bűnözők ne profitáljanak a megsértett szerverből. Például az ilyen típusú fejlettebb projektek általában elfedik a rosszindulatú folyamat hardverhasználatát, elrejtve ezzel azt a tényt, hogy egy ismeretlen szolgáltatás a feldolgozási teljesítmény 80-90% -át használja. Hasonló módon néhány kriptovaluta bányász szünetelteti feladatait, amint egy hardver erőforrás-figyelő eszköz megnyílik - ez egy másik könnyen átverhető az észlelés elkerülése érdekében. Szerencsére a Sysrv-hello Botnet nem csinál ilyeneket, és a hozzáértő rendszergazdáknak képesnek kell lenniük arra, hogy kézi eltávolítással vagy jó nevű víruskereső szoftver segítségével könnyen azonosítsák és mérsékeljék a fenyegetést.