Microsoft alerta para nova variante de botnet visando sistemas Windows e Linux

A Microsoft alertou as empresas de que seus especialistas em segurança encontraram uma nova variante do botnet Sysrv que suporta explorações adicionais e pode obter controle de servidores da web.

A família de botnets é observada desde 2020 e é conhecida por visar sistemas Windows e Linux, instalando mineradores de criptomoeda Monero.

A nova variante, apelidada de Sysrv-K, é wormable e varre a internet em busca de vulnerabilidades em aplicativos e bancos de dados para explorar e se instalar, disse a Microsoft em um tópico no Twitter.

O Sysrv-K funciona de maneira semelhante às variantes mais antigas, pois verifica chaves de shell seguro (SSH), endereços IP e nomes de host, antes de tentar espalhar cópias de si mesmo pela rede.

A natureza wormable do Sysrv-K é uma preocupação para empresas que executam Windows ou Linux em sistemas voltados para a Internet. A Microsoft aconselhou a todos a proteger todos os sistemas voltados para a Internet e corrigir vulnerabilidades de segurança conhecidas.

As vulnerabilidades usadas pelo Sysrv-K são uma mistura de ameaças mais antigas e mais recentes e abrangem uma infinidade de tipos, incluindo passagem de caminho, divulgações de arquivos remotos, download arbitrário de arquivos e execução remota de código.

Um dos novos comportamentos observados no Sysrv-K, e não nas variantes anteriores, é a verificação dos arquivos de configuração do WordPress e seus backups para recuperar as credenciais do banco de dados.

O Sysrv-K usa essas credenciais coletadas para obter o controle do servidor da Web, onde pode usar suas ferramentas de comunicação atualizadas, como acesso a um bot do Telegram.

A família Sysrv

A família de botnet Sysrv existe desde dezembro de 2020, mas sua atividade aumentou notavelmente em março de 2021, levando empresas de segurança cibernética como a Juniper a analisar os ataques.

Desde que foi lançado, houve várias melhorias no Sysrv, como compilar o worm e o minerador Monero em um único binário no ano passado.

Juniper disse que a combinação dos dois proporcionaria ao agente da ameaça “melhor controle e gerenciamento”, pois o binário é constantemente atualizado.

Como parte do script do carregador, as chaves SSH usadas na variante mais recente também foram adicionadas apenas no ano passado, antes que a atividade começasse a aumentar. Os pesquisadores disseram que essa foi outra iniciativa usada para obter maior persistência nas máquinas-alvo, o que pode levar a ataques mais sofisticados do que a mineração de criptomoedas.

Uma análise do NHS Digital do Sysrv concluiu que o binário é escrito em Go, uma linguagem de desenvolvimento multiplataforma que está se tornando cada vez mais popular entre os criminosos cibernéticos.

O Sysrv prepara o sistema infectado removendo todos os mineradores de criptomoedas instalados antes de encerrar os serviços e modificar o firewall do sistema.

Em seguida, ele instala o minerador Monero - o tipo de minerador pode depender da variante que infecta uma máquina - e procura maneiras de se mover e se espalhar lateralmente enquanto o programa de minerador é executado.