Malware wykazał szczególnie dużą aktywność w ostatnich miesiącach zeszłego roku, atakując serwery linuksowe oraz urządzenia IoT. Co ciekawe, malware najpierw sprawdza, czy zaatakowany system został już wcześniej zainfekowany szkodliwym kodem. Jeśli tak było, przestaje atakować swoją ofiarę i wycofuje się.

Podczas gdy większość znanych wcześniej wersji tego hakerskiego narzędzia używa zawsze tego samego klucza do szyfrowania danych, wariant V3G4 wykorzystuje różne klucze szyfrowania, dlatego jest groźniejszy. Inicjuje przy tym najczęściej na początku atak typu brute-force wykorzytując protokoły sieciowe Telnet lub SSH. Następnie nawiązuje kontakt z hakerskim serwerem C2 i czeka na to aż wyda on mu polecenie do przeprowadzenia właściwego ataku DDoS.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

V3G4 wykorzystuje różne luki. Jest to np. luka CVE-2012-4869 (znajdująca się narzędziu FreePBX zarządzającym serwerami komunikacyjnymi; luka CVE-2019-15107 (znajdująca się w oprogramowaniu Webmin); luka CVE-2020-8515 (znajdująca się w routerach DrayTek Vigor); czy luka CVE-2022-4257 (znajdująca się w oprogramowaniu C-Data Web Management System).

Pełną listę wykorzystanych luk (które zdołano do tej pory zidentyfikować), można znaleźć tutaj na witrynie firmy Palo Alto. Znajdują się też tam sugestie dotyczące narzędzi potrafiących wykrywać takie infekcje i zapobiegać atakom, jak również fragmenty kodu, który jest używany przez hakerów do przeprowadzania ataków.