Sysrv-K Botnet tenta di estrarre criptovalute sui dispositivi delle vittime
La botnet Sysrv è in circolazione da un po' di tempo ormai, ma i ricercatori di sicurezza hanno identificato un nuovo ceppo aggiornato dello strumento dannoso. La nuova versione è stata soprannominata Sysrv-K e si rivolge sia ai sistemi Windows che Linux, nonché all'hardware del server web.
La nuova versione di Sysrv esegue la scansione dei server Web pubblici che eseguono ancora software con vulnerabilità senza patch, quindi sfrutta tali falle di sicurezza. Una volta che il malware si è fatto strada su un dispositivo compromesso, avvia uno strumento dannoso di cryptominer che inizia ad abusare delle risorse del dispositivo vittima per estrarre la criptovaluta Monero.
Oltre allo strumento cryptominer distribuito, Sysrv-K può accedere ai file di configurazione di WordPress ed estrarre da essi le credenziali di accesso. Le credenziali vengono a loro volta utilizzate per fornire agli attori delle minacce che gestiscono il controllo della botnet sul server Web di destinazione.
Il nuovo ceppo della botnet Sysrv è ancora in grado di eseguire la scansione di indirizzi IP, chiavi SSH e nomi host su dispositivi compromessi e di utilizzare queste informazioni per propagare la botnet su SSH. I proprietari di server sono invitati ad aggiornare tutti i software e le applicazioni pertinenti il prima possibile per evitare infezioni e abuso delle risorse di sistema.
Sysrv è in circolazione da quasi due anni, dettagliati per la prima volta dai ricercatori alla fine del 2020. Da allora il malware ha ricevuto più aggiornamenti e questa nuova versione mostra che l'attore delle minacce dietro Sysrv non ha finito con la botnet da molto tempo.
