Sysrv-hello Botnet
La botnet Sysrv-hello è un progetto dannoso, che è stato monitorato da vicino dai ricercatori della sicurezza informatica da dicembre 2020. I criminali dietro questa campagna mirano a installare un minatore di criptovaluta su sistemi Windows e Linux compromessi e quindi utilizzare le loro risorse hardware per estrarre Monero (XMR,) una criptovaluta incentrata sulla privacy. Monero viene utilizzato per tutti i tipi di loschi affari online in tutto il mondo ei criminali informatici esprimono un notevole interesse ad accumularne il più possibile.
Sysrv-hello Botnet, in particolare, non si occupa dei normali dispositivi domestici, ma concentra i suoi sforzi sui server aziendali, che probabilmente forniranno una potenza di elaborazione maggiore rispetto a un computer medio. Raccogliendo queste risorse per l'estrazione di criptovaluta, i criminali possono ottenere profitti impressionanti: uno dei portafogli collegati alla campagna Sysrv-hello Botnet ha 12 XMR (circa $ 4.000). Tuttavia, è molto probabile che gli hacker utilizzino molti altri portafogli non identificati per conservare il loro bottino.
La buona notizia è che questa operazione di mining di criptovaluta abbastanza moderna non si basa su exploit zero-day, il che potrebbe rivelarsi un grosso problema. Invece, i criminali stanno scansionando i server Linux e Windows per software senza patch, che è sfruttabile attraverso vulnerabilità che spesso possono essere vecchie di alcuni anni. Alcuni dei pacchetti software che la botnet Sysrv-hello cerca di sfruttare sono PHPUnit, Oracle WebLogic, Apache Struts, Confluence, Laravel, Jira e altri. Gli amministratori di rete devono assicurarsi di mantenere i propri sistemi protetti mantenendo tutti i pacchetti software aggiornati, nonché utilizzando password complesse e seguendo le migliori pratiche di sicurezza.
In termini di funzionalità, la botnet Sysrv-hello non fa molto oltre a far cadere il payload del minatore di criptovaluta. Proprio come altre botnet di questo tipo, esegue anche la scansione del sistema alla ricerca di altre istanze di miner e le termina per garantire che nessun altro criminale tragga profitto dal server compromesso. Ad esempio, progetti più avanzati di questo tipo tendono a mascherare l'utilizzo dell'hardware del processo dannoso, nascondendo quindi il fatto che un servizio sconosciuto utilizza l'80-90% della potenza di elaborazione. In modo simile, alcuni minatori di criptovaluta sospendono le loro attività non appena viene aperto uno strumento di monitoraggio delle risorse hardware, un altro trucco facile per evitare di essere rilevati. Per fortuna, la botnet Sysrv-hello non fa queste cose e gli amministratori di sistema informati dovrebbero essere in grado di identificare e mitigare facilmente la minaccia tramite la rimozione manuale o utilizzando un software antivirus affidabile.
