Ботнет Sysrv-hello
Ботнет Sysrv-hello - это вредоносный проект, который тщательно отслеживается исследователями кибербезопасности с декабря 2020 года. Преступники, стоящие за этой кампанией, стремятся установить майнер криптовалюты на скомпрометированных системах Windows и Linux, а затем использовать свои аппаратные ресурсы для майнинга Monero. (XMR,) криптовалюта, ориентированная на конфиденциальность. Monero используется для всевозможных теневых онлайн-сделок по всему миру, и киберпреступники проявляют значительный интерес к тому, чтобы накопить как можно больше денег.
Ботнет Sysrv-hello, в частности, не преследует обычные домашние устройства - вместо этого он сосредотачивает свои усилия на корпоративных серверах, которые, вероятно, обладают большей вычислительной мощностью, чем ваш средний компьютер. Собирая эти ресурсы для майнинга криптовалюты, преступники могут получить впечатляющую прибыль - один из кошельков, связанных с кампанией ботнета Sysrv-hello, имеет 12 XMR (около 4000 долларов). Однако весьма вероятно, что хакеры используют множество других неопознанных кошельков для хранить свою добычу.
Хорошая новость заключается в том, что эта довольно современная операция по добыче криптовалюты не полагается на эксплойты нулевого дня, которые могут оказаться серьезной проблемой. Вместо этого преступники сканируют серверы Linux и Windows на предмет отсутствия исправлений программного обеспечения, которое можно использовать с помощью уязвимостей, которым часто может быть несколько лет. Некоторые из программных пакетов, которые пытается использовать ботнет Sysrv-hello, - это PHPUnit, Oracle WebLogic, Apache Struts, Confluence, Laravel, Jira и другие. Сетевые администраторы должны обеспечивать защиту своих систем, обновляя все программные пакеты, а также используя надежные пароли и следуя лучшим практикам безопасности.
С точки зрения функциональности ботнет Sysrv-hello не делает ничего, кроме сброса полезной нагрузки майнера криптовалюты. Как и другие бот-сети этого типа, он также сканирует систему на наличие других экземпляров майнеров и завершает их работу, чтобы гарантировать, что другие злоумышленники не получат прибыль от взломанного сервера. Например, более продвинутые проекты этого типа имеют тенденцию маскировать использование оборудования вредоносным процессом, тем самым скрывая тот факт, что неизвестный сервис использует 80-90% вычислительной мощности. Аналогичным образом некоторые майнеры криптовалюты приостанавливают выполнение своих задач, как только открывается инструмент мониторинга аппаратных ресурсов - еще один простой способ избежать обнаружения. К счастью, ботнет Sysrv-hello не делает таких вещей, и хорошо осведомленные системные администраторы должны иметь возможность легко идентифицировать и смягчать угрозу с помощью ручного удаления или использования надежного антивирусного программного обеспечения.