Sysrv-hello Botnet

O Sysrv-hello Botnet é um projeto malicioso, que tem sido rastreado de perto por pesquisadores de segurança cibernética desde dezembro de 2020. Os criminosos por trás desta campanha pretendem instalar um minerador de criptomoedas em sistemas comprometidos Windows e Linux e, em seguida, usar seus recursos de hardware para minerar Monero (XMR,) uma criptomoeda com foco na privacidade. Monero está sendo usado para todos os tipos de negócios online obscuros em todo o mundo, e os cibercriminosos expressam um interesse significativo em acumular o máximo possível.

O Sysrv-hello Botnet, em particular, não vai atrás de dispositivos domésticos comuns - em vez disso, ele concentra seus esforços em servidores corporativos, que provavelmente possuem mais poder de processamento do que um computador normal. Ao colher esses recursos para mineração de criptomoedas, os criminosos podem obter lucros impressionantes - uma das carteiras vinculadas à campanha Sysrv-hello Botnet tem 12 XMR (cerca de US $ 4.000). No entanto, é muito provável que os hackers usem muitas outras carteiras não identificadas para armazenar seu saque.

A boa notícia é que essa operação de mineração de criptomoeda bastante moderna não depende de exploits de dia zero, o que pode ser um grande problema. Em vez disso, os criminosos estão varrendo os servidores Linux e Windows em busca de software não corrigido, que pode ser explorado por meio de vulnerabilidades que muitas vezes podem ter alguns anos. Alguns dos pacotes de software que o Sysrv-hello Botnet tenta explorar são PHPUnit, Oracle WebLogic, Apache Struts, Confluence, Laravel, Jira e outros. Os administradores de rede devem se certificar de manter seus sistemas protegidos, mantendo todos os pacotes de software atualizados, bem como usando senhas fortes e seguindo as melhores práticas de segurança.

Em termos de funcionalidade, o Sysrv-hello Botnet não faz muito além de eliminar a carga útil do minerador de criptomoeda. Assim como outros botnets desse tipo, ele também verifica o sistema em busca de outras instâncias de minerador e as encerra para garantir que nenhum outro criminoso lucrará com o servidor comprometido. Por exemplo, projetos mais avançados desse tipo tendem a mascarar o uso de hardware do processo malicioso, ocultando, portanto, o fato de que um serviço desconhecido está usando 80-90% do poder de processamento. De maneira semelhante, alguns mineradores de criptomoeda pausam suas tarefas assim que uma ferramenta de monitoramento de recursos de hardware é aberta - outro método fácil de enganar para evitar ser detectado. Felizmente, o Sysrv-hello Botnet não faz essas coisas, e administradores de sistema bem informados devem ser capazes de identificar e mitigar facilmente a ameaça por meio da remoção manual ou usando um software antivírus confiável.