0
0
Sysrv-K se espalha usando credenciais roubadas e usando força bruta de preenchimento de senhas
Os operadores da botnet Sysrv estão explorando vulnerabilidades no WordPress e no Spring Framework para lançar ataques contra servidores Linux e Windows, alerta a Microsoft. Em um post no Twitter, pesquisadores da equipe de inteligência de segurança da Microsoft explicaram que uma nova variante da botnet, apelidada de Sysrv-K, está sendo usada para implantar criptomineradores e outros malwares em sistemas de destino.
A exploração depende de uma cadeia de vulnerabilidades — incluindo CVE-2022-22947 e CVE-2022-22947 — que já foram corrigidas, mas ainda estão presentes em sistemas que ainda não foram atualizados.
A recente onda de ataques foi possibilitada por novas instalações introduzidas na botnet Sysrv que ajudam a caçar ativamente servidores vulneráveis e eliminar qualquer malware concorrente presente em um sistema alvo. Uma vez dentro, o Sysrv-K também se espalha por uma rede usando uma combinação de credenciais roubadas e ataques de força bruta de preenchimento de senhas, diz a Microsoft.
“Como variantes mais antigas, o Sysrv-K procura chaves SSH (Secure Shell), endereços IP e nomes de host e, em seguida, tenta se conectar a outros sistemas na rede via SSH para implantar cópias de si mesmo. Isso pode colocar o resto da rede em risco de se tornar parte da botnet Sysrv-K”, explicou a equipe de inteligência de ameaças.
“Um novo comportamento observado no Sysrv-K é que ele verifica os arquivos de configuração do WordPress e seus backups para recuperar as credenciais do banco de dados, que ele usa para obter o controle do servidor web”, completaram os pesquisadores.
A melhor maneira de se proteger contra ataques lançados por meio do botnet Sysrv é estabelecer uma política de gerenciamento de patches eficaz que permita que sistemas vulneráveis sejam atualizados o mais rápido possível e garantir que credenciais de conta fortes e autenticação de dois fatores estejam em vigor em todos os setores.
FONTE: CISO ADVISOR