Sysrv-hallo Botnet
Het Sysrv-hello Botnet is een kwaadaardig project, dat sinds december 2020 nauwlettend wordt gevolgd door cybersecurity-onderzoekers. De criminelen achter deze campagne willen een cryptocurrency-mijnwerker installeren op gecompromitteerde Windows- en Linux-systemen en vervolgens hun hardwarebronnen gebruiken om te minen voor Monero (XMR,) een op privacy gerichte cryptocurrency. Monero wordt over de hele wereld gebruikt voor allerlei duistere online deals, en cybercriminelen tonen grote belangstelling om er zoveel mogelijk van te verzamelen.
Vooral het Sysrv-hello Botnet gaat niet achter reguliere thuisapparaten aan - in plaats daarvan concentreert het zijn inspanningen op bedrijfsservers, die waarschijnlijk meer verwerkingskracht zullen hebben dan uw gemiddelde computer. Door deze bronnen te verzamelen voor het delven van cryptocurrency, kunnen de criminelen indrukwekkende winst behalen - een van de wallets die is gekoppeld aan de Sysrv-hello Botnet-campagne heeft 12 XMR (ongeveer $ 4.000). Het is echter zeer waarschijnlijk dat de hackers veel andere niet-geïdentificeerde portefeuilles gebruiken om slaan hun buit op.
Het goede nieuws is dat deze vrij moderne cryptocurrency-mijnoperatie niet afhankelijk is van zero-day exploits, wat een groot probleem zou kunnen blijken te zijn. In plaats daarvan scannen de criminelen Linux- en Windows-servers op ongepatchte software, die kan worden misbruikt via kwetsbaarheden die vaak enkele jaren oud zijn. Enkele van de softwarepakketten die het Sysrv-hello Botnet probeert te exploiteren, zijn PHPUnit, Oracle WebLogic, Apache Struts, Confluence, Laravel, Jira en andere. Netwerkbeheerders moeten ervoor zorgen dat hun systemen beschermd blijven door alle softwarepakketten up-to-date te houden, evenals door sterke wachtwoorden te gebruiken en de beste beveiligingspraktijken te volgen.
In termen van functionaliteit doet het Sysrv-hello Botnet niet veel anders dan het laten vallen van de payload van de cryptocurrency-mijnwerker. Net als andere botnets van dit type, scant het het systeem ook op andere minerinstances en beëindigt het deze om ervoor te zorgen dat geen andere criminelen zullen profiteren van de gecompromitteerde server. Geavanceerdere projecten van dit type hebben bijvoorbeeld de neiging het hardwaregebruik van het kwaadaardige proces te maskeren, waardoor het feit wordt verborgen dat een onbekende service 80-90% van de verwerkingskracht gebruikt. Op een vergelijkbare manier pauzeren sommige miners van cryptocurrency hun taken zodra een tool voor het monitoren van hardwarebronnen is geopend - nog een gemakkelijk te misleiden om te voorkomen dat ze worden gedetecteerd. Gelukkig doet het Sysrv-hello Botnet dergelijke dingen niet, en goed geïnformeerde systeembeheerders zouden de dreiging gemakkelijk moeten kunnen identificeren en verminderen via handmatige verwijdering of door gebruik te maken van betrouwbare antivirussoftware.