En su más reciente versión, los operadores de la botnet Sysrv incluyeron nuevo exploits para usar más vulnerabilidades, lo que representa una seria amenaza para sistemas Windows y Linux. Identificada como Sysrv-K, esta nueva cepa de malware también escanea Internet en busca de servidores web con fallas de seguridad para su explotación.
Las vulnerabilidades explotadas por estos hackers, todas con parches disponibles, incluyen fallas en plugins de WordPress, como el error de ejecución remota de código (RCE) en Spring Cloud Gateway identificado como CVE-2022-22947 y divulgado por la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA).
Después de acceder al sistema objetivo, el malware inyecta un malware para el minado de la criptomoneda Monero, que explotará las capacidades de procesamiento de los sistemas afectados. El malware también puede revisar archivos en sitios de WordPress para tomar control de su servidor web.
Del mismo modo que sus versiones anteriores, Sysrv-K busca claves SSH, direcciones IP y nombres de host en los sistemas afectados para propagarse a través de conexiones SSH. El reporte señala que los sistemas afectados pueden ser incorporados a la botnet fácilmente.
Ante tal situación, los especialistas recomiendan encarecidamente a las organizaciones asegurar sus sistemas orientados a Internet, incluyendo la implementación oportuna de parches de seguridad y el desarrollo de una adecuada política de credenciales de usuario.
Sysrv fue detectado por primera vez a finales de 2020, recibiendo actualización constante desde entonces. Dorka Palotay, especialista de la firma de seguridad Cujo AI, menciona que la comunidad ha identificado múltiples iteraciones de malware/herramienta de minado. Estas versiones usan el lenguaje de programación Go, que trae consigo capacidades sencillas de compilación cruzada y su gran tamaño de archivo hace que aplicar ingeniería inversa a los archivos del malware sea casi imposible.
Acorde a Palotay, con las constantes actualizaciones del malware se fueron agregando nuevas muestras de código para mejorar sus capacidades. La especialista menciona haber analizado al menos dos docenas de exploits de Sysrv que son útiles contra una variedad de conjuntos de software, incluidos Jboss, Adobe ColdFusion, Atlassian Confluence y Jira, además de herramientas de hacking para Apache y Oracle WebLogi: “El malware sigue incorporando nuevos exploits para propagarse de forma efectiva”, menciona.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.