Sysrv-K Botnet

Los investigadores de Microsoft han revelado una nueva variante de la botnet Sysrv. Rastreada como Sysrv-K, esta nueva amenaza está equipada con un conjunto ampliado de capacidades amenazantes. Recorre Internet en busca de servidores web que tengan varios problemas de seguridad. La amenaza puede explotar el cruce de rutas, la divulgación remota de archivos y los peros de descarga de archivos para comprometer los sistemas objetivo. Los ciberdelincuentes detrás de Sysrv-K también han incorporado nuevas vulnerabilidades al repertorio de la botnet, como CVE-2022-22947, una ejecución remota de código que afecta al software Spring Cloud Gateway.

Una vez implementado, Sysrv-K procede a implementar una carga útil de cripto-minero Monero. Los mineros criptográficos son amenazas dañinas diseñadas específicamente para secuestrar los recursos de hardware del dispositivo violado y utilizarlos para extraer una moneda criptográfica específica. Además, la botnet Sysrv-K puede recuperar las credenciales de la base de datos de los archivos de configuración de WordPress o sus copias de seguridad. Posteriormente, la amenaza aprovecha las credenciales robadas para hacerse con el control del servidor web. Las capacidades de comunicación de la amenaza también se han mejorado con la inclusión de la capacidad de usar Telegram como canal de comunicación.

Al mismo tiempo, Sysrv-K ha conservado la capacidad de buscar claves SSH, direcciones IP o nombres de host en las máquinas violadas. Esta información es necesaria para que la amenaza intente propagarse aún más a través de conexiones SSH.