Resumen: Microsoft advierte a los usuarios sobre una reconocida red de bots, que se dirige a los sistemas Windows y Linux para instalar mineros de criptomonedas.
La nueva variante de Sysrv, apodada como Sysrv-K, escanea Internet en búsqueda de vulnerabilidades ubicadas en bases de datos y aplicaciones web.
Sysrv-K funciona de forma similar a sus variantes anteriores, sin embargo, ahora posee capacidades de gusano que le permiten tomar el control de los servidores infectados.
Durante las primeras etapas del ataque, Sysrv-K prepara el sistema infectado eliminando cualquier otro minero de criptomonedas que haya sido instalado.
Más adelante, la botnet modificará el firewall e instalará su propio minero escrito en Go, que se encargará de propagarse a sí mismo en la red objetivo.
Durante esta etapa, Sysrv-K escaneará el sistema de la víctima en búsqueda de claves SSH, direcciones IP y nombres del host, luego intentará conectarse a otros sistemas para desplegarse a sí mismo.
Ahora bien, de acuerdo con los investigadores, el carácter malicioso de Sysrv-K, permite el acceso a los archivos de configuración de WordPress y a sus copias de seguridad, esto para que los atacantes puedan recuperar credenciales de las bases de datos.
Otra característica importante de Sysrv-K, es que aprovecha múltiples vulnerabilidades para completar su descarga, incluyendo fallos de cruce de rutas, divulgación remota de archivos, descarga de archivos arbitrarios y ejecución remota de código
Finalmente, con el objetivo de mitigar la posible explotación de la botnet, Microsoft ha instado a todas las organizaciones a proteger sus sistemas conectados a Internet y aplicar las medidas de seguridad necesarias para mantener sus credenciales seguras.
Recomendaciones: Medidas para prevenir la instalación de una botnet Mantener el software actualizado Implementar soluciones de detección Monitorear el tráfico en la red Referencias: https://securityaffairs.co/wordpress/131290/cyber-crime/microsoft-sysrv-botnet-new-exploits.html |
SÍGUENOS