Botnet Sysrv-K próbuje kopać krypto na urządzeniach ofiar

Botnet Sysrv istnieje już od jakiegoś czasu, ale analitycy bezpieczeństwa zidentyfikowali nowy, zaktualizowany szczep złośliwego narzędzia. Nowa wersja została nazwana Sysrv-K i jest przeznaczona zarówno dla systemów Windows, Linux, jak i serwerów WWW.

Nowa wersja Sysrv skanuje publiczne serwery internetowe, na których nadal działa oprogramowanie, które ma niezałatane luki, a następnie wykorzystuje te luki w zabezpieczeniach. Gdy złośliwe oprogramowanie przedostanie się na zhakowane urządzenie, uruchamia złośliwe narzędzie do wydobywania kryptowalut, które zaczyna wykorzystywać zasoby urządzenia ofiary w celu wydobywania kryptowaluty Monero.

Oprócz wdrożonego narzędzia cryptominer, Sysrv-K może uzyskać dostęp do plików konfiguracyjnych WordPress i wyodrębnić z nich dane logowania. Poświadczenia są z kolei wykorzystywane, aby zapewnić cyberprzestępcom obsługującym botnet kontrolę nad docelowym serwerem sieciowym.

Nowa odmiana botnetu Sysrv nadal jest w stanie skanować adresy IP, klucze SSH i nazwy hostów na zaatakowanych urządzeniach i wykorzystywać te informacje do rozprzestrzeniania botnetu przez SSH. Właściciele serwerów są zachęcani do jak najszybszej aktualizacji całego odpowiedniego oprogramowania i aplikacji, aby uniknąć infekcji i nadużyć zasobów systemowych.

Sysrv istnieje od prawie dwóch lat, po raz pierwszy szczegółowo omówiony przez badaczy pod koniec 2020 r. Od tego czasu złośliwe oprogramowanie otrzymało wiele aktualizacji, a nowa wersja pokazuje, że zagrożenie stojące za Sysrv nie jest na dłuższą metę wykończone z botnetem.