Sysrv-K Botnet

Uma nova variante do botnet Sysrv foi revelada pelos pesquisadores da Microsoft. Rastreada como Sysrv-K, essa nova ameaça está equipada com um conjunto expandido de recursos maliciosos. Ele vasculha a Internet em busca de servidores da Web que tenham vários problemas de segurança. A ameaça pode explorar a passagem de caminho, divulgação remota de arquivos e downloads de arquivos, a fim de comprometer os sistemas de destino. Os cibercriminosos por trás do Sysrv-K também incorporaram novas vulnerabilidades ao repertório da botnet, como CVE-2022-22947, uma execução remota de código que afeta o software Spring Cloud Gateway.

Uma vez implantado, o Sysrv-K prossegue para implantar uma carga útil do cripto-minerador Monero. Cripto-mineradores são ameaças maliciosas projetadas especificamente para sequestrar os recursos de hardware do dispositivo violado e utilizá-los para minerar uma cripto-moeda específica. Além disso, o botnet Sysrv-K pode recuperar credenciais de banco de dados dos arquivos de configuração do WordPress ou de seus backups. Depois, a ameaça aproveita as credenciais roubadas para obter controle sobre o servidor web. Os recursos de comunicação da ameaça também foram aprimorados com a inclusão da capacidade de usar o Telegram como canal de comunicação.

Ao mesmo tempo, o Sysrv-K manteve a capacidade de verificar chaves SSH, endereços IP ou nomes de host nas máquinas violadas. Essas informações são necessárias para a ameaça à tentativa de se espalhar ainda mais por meio de conexões SSH.