Sysrv-K Botnet probeert crypto te ontginnen op slachtofferapparaten

Het Sysrv-botnet bestaat al een tijdje, maar beveiligingsonderzoekers hebben een nieuwe, bijgewerkte variant van de kwaadaardige tool geïdentificeerd. De nieuwe versie is Sysrv-K genoemd en is gericht op zowel Windows- als Linux-systemen, evenals webserverhardware.

De nieuwe versie van Sysrv scant openbare webservers waarop nog software draait met niet-gepatchte kwetsbaarheden, en maakt vervolgens misbruik van die beveiligingsfouten. Zodra de malware zijn weg vindt naar een gecompromitteerd apparaat, lanceert het een schadelijke cryptominer-tool die de bronnen van het slachtoffer begint te misbruiken om Monero-cryptocurrency te delven.

Naast de ingezette cryptominer-tool, kan Sysrv-K toegang krijgen tot WordPress-configuratiebestanden en er inloggegevens uit halen. De inloggegevens worden op hun beurt gebruikt om de bedreigingsactoren die het botnet besturen controle te geven over de beoogde webserver.

De nieuwe soort van het Sysrv-botnet is nog steeds in staat om te scannen naar IP-adressen, SSH-sleutels en hostnamen op gecompromitteerde apparaten en deze informatie te gebruiken om het botnet via SSH te verspreiden. Servereigenaren worden dringend verzocht alle relevante software en applicaties zo snel mogelijk bij te werken om infectie en misbruik van systeembronnen te voorkomen.

Sysrv bestaat al bijna twee jaar, voor het eerst gedetailleerd door onderzoekers eind 2020. De malware heeft sindsdien meerdere updates ontvangen en deze nieuwe versie laat zien dat de bedreigingsacteur achter Sysrv nog lang niet klaar is met het botnet.