Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Botnets Botnet Sysrv-hello

Botnet Sysrv-hello

Por Mezo en Botnets
Traducir a:
Español

La botnet Sysrv-hello es una botnet descubierta recientemente que busca servidores empresariales Linux y Windows vulnerables para agregar a sus máquinas esclavas de cripto-minería. Entre las víctimas de la amenaza se encuentran Jira, Oracle WebLogic, PHPUnit, Apache Solar, Confluence, JBoss, Laravel, Sonatype y Apache Struts. Como la mayoría de las redes de bots de minería criptográfica, Sysrv-hello también implementa una versión del minero XMRig que secuestra los recursos de hardware del sistema infectado para generar monedas Monero.

A pesar de ser una amenaza relativamente nueva, la botnet Sysrv-hello ya ha experimentado varias actualizaciones y modificaciones importantes. Inicialmente, la amenaza tenía una naturaleza modular con componentes separados de minería y propagación (gusano). Sin embargo, las últimas muestras contienen un único binario que es capaz de realizar ambas funcionalidades.

Vectores de compromiso inicial

Las vulnerabilidades explotadas por Sysrv-hello para propagarse también se han actualizado. Las variantes más recientes de la amenaza se basan en seis vulnerabilidades particulares para obtener acceso inicial a los sistemas objetivo:

  • Mongo Express RCE (CVE-2019-10758)
  • XML-RPC (CVE-2017-11610)
  • Saltstack RCE (CVE-2020-16846)
  • Drupal Ajax RCE (CVE-2018-7600)
  • ThinkPHP RCE (sin CVE)
  • XXL-JOB Unauth RCE (sin CVE)

Después de afianzarse en el servidor, Sysrv-hello mata a cualquier cripto-minero competidor si está presente, inicia su propio minero y procede a extenderse por la red comprometida. Para moverse lateralmente, la botnet recopila claves SSH privadas de los servidores infectados y las usa para lanzar ataques de fuerza bruta.

Los investigadores de Infosec lograron identificar una de las criptomonedas utilizadas para contener las monedas Monero generadas por la botnet Sysrv-hello. Aunque la suma almacenada allí no es tan impresionante, un poco más de 12 XMR (Monero), o alrededor de $ 4000, debe tenerse en cuenta que las botnets de cripto minería generalmente emplean múltiples billeteras de este tipo, por lo que las ganancias totales de los piratas informáticos podrían ser significativamente mayores.

Tendencias

Mas Visto

Cargando...