Sysrv-K Botnet

Els investigadors de Microsoft han revelat una nova variant de la botnet Sysrv. Seguida com a Sysrv-K, aquesta nova amenaça està equipada amb un conjunt ampliat de capacitats amenaçadores. Recorre Internet a la recerca de servidors web que tinguin diversos problemes de seguretat. L'amenaça pot aprofitar la travessa de camins, la divulgació remota de fitxers i els peròs de descàrrega de fitxers per comprometre els sistemes dirigits. Els cibercriminals darrere de Sysrv-K també han incorporat noves vulnerabilitats al repertori de la botnet, com ara CVE-2022-22947, una execució de codi remota que afecta el programari Spring Cloud Gateway.

Un cop desplegat, Sysrv-K procedeix a desplegar una càrrega útil de criptominera Monero. Els criptominers són amenaces perjudicials dissenyades específicament per segrestar els recursos de maquinari del dispositiu trencat i utilitzar-los per extreure una criptomoneda específica. A més, la botnet Sysrv-K pot recuperar les credencials de la base de dades dels fitxers de configuració de WordPress o les seves còpies de seguretat. Després, l'amenaça aprofita les credencials robades per obtenir el control del servidor web. Les capacitats de comunicació de l'amenaça també s'han millorat amb la inclusió de la possibilitat d'utilitzar Telegram com a canal de comunicació.

Al mateix temps, Sysrv-K ha conservat la capacitat d'escanejar claus SSH, adreces IP o noms d'amfitrió a les màquines violades. Aquesta informació és necessària perquè l'amenaça intenti estendre's encara més mitjançant connexions SSH.