Botnet Sysrv-K tenta minerar criptomoedas em dispositivos de vítimas

O botnet Sysrv já existe há algum tempo, mas os pesquisadores de segurança identificaram uma nova e atualizada linhagem da ferramenta maliciosa. A nova versão foi apelidada de Sysrv-K e tem como alvo os sistemas Windows e Linux, bem como o hardware do servidor web.

A nova versão do Sysrv verifica servidores da Web voltados para o público que ainda executam software com vulnerabilidades não corrigidas e, em seguida, explora essas falhas de segurança. Uma vez que o malware chega em um dispositivo comprometido, ele lança uma ferramenta maliciosa de criptomineração que começa a abusar dos recursos do dispositivo da vítima para minerar a criptomoeda Monero.

Além da ferramenta cryptominer implantada, o Sysrv-K pode acessar os arquivos de configuração do WordPress e extrair as credenciais de login deles. As credenciais, por sua vez, são usadas para fornecer aos agentes de ameaças que operam o controle da botnet sobre o servidor da Web de destino.

A nova linhagem do botnet Sysrv ainda é capaz de verificar endereços IP, chaves SSH e nomes de host em dispositivos comprometidos e usar essas informações para propagar o botnet pelo SSH. Os proprietários de servidores devem atualizar todos os softwares e aplicativos pertinentes o mais rápido possível para evitar infecções e abuso de recursos do sistema.

O Sysrv existe há quase dois anos, detalhado pela primeira vez por pesquisadores no final de 2020. O malware recebeu várias atualizações desde então e esta nova versão mostra que o ator de ameaças por trás do Sysrv não terminou com a botnet de forma remota.