Sysrv-K Botnet prøver å gruve krypto på offerenheter

Sysrv-botnettet har eksistert en stund nå, men sikkerhetsforskere har identifisert en ny, oppdatert stamme av det skadelige verktøyet. Den nye versjonen har blitt kalt Sysrv-K og den er rettet mot både Windows- og Linux-systemer, samt nettservermaskinvare.

Den nye versjonen av Sysrv skanner offentlige webservere som fortsatt kjører programvare som har uopprettede sårbarheter, og utnytter deretter disse sikkerhetsmanglerne. Når skadelig programvare har funnet vei på en kompromittert enhet, lanserer den et ondsinnet kryptominerverktøy som begynner å misbruke offerenhetens ressurser til å hente Monero-kryptovaluta.

I tillegg til kryptominerverktøyet som er distribuert, kan Sysrv-K få tilgang til WordPress-konfigurasjonsfiler og trekke ut påloggingsinformasjon fra dem. Legitimasjonen brukes i sin tur til å gi trusselaktørene som driver botnettverket kontroll over den målrettede webserveren.

Den nye stammen av Sysrv-botnettet er fortsatt i stand til å skanne etter IP-adresser, SSH-nøkler og vertsnavn på kompromitterte enheter og bruke denne informasjonen til å spre botnettet over SSH. Servereiere oppfordres til å oppdatere all relevant programvare og applikasjoner så snart som mulig for å unngå infeksjon og misbruk av systemressurser.

Sysrv har eksistert i nesten to år, først detaljert av forskere i slutten av 2020. Skadevaren har mottatt flere oppdateringer siden den gang, og denne nye versjonen viser at trusselaktøren bak Sysrv ikke er ferdig med botnettet på et langt skudd.