Informatycy nadali nowemu zagrożeniu nazwę Sysrv-K. W pierwszej fazie ataku botnet skanuje Internet w poszukiwaniu starszych wersji wtyczek Wordpress, które zawierają interesujące go luki, jak również niedawno wykrytą lukę znajdującą się w tej części oprogramowania Spring Cloud Gateway, która obsługuje funkcję RCE (zdalne wykonywanie kodu). To podatność o nazwie CVE-2022- 22947.

Podatność znajduj się w programach opracowanych przez firmy VMware (Spring Cloud Gateway) oraz Oracle Communications (Cloud Native Core Network Exposure Function). Botnet Sysrv-K jest groźny, ponieważ przejmuje kontrolę nad takimi ważnymi elementami systemu IT, jak serwery sieciowe. Gdy atak się powiedzie, botnet wdraża w pamięci swej ofiary standardową koparkę kryptowalut. Botnet potrafi też kraść z komputerów bazy danych zawierające informacje uwierzytelniające ich użytkowników.

Zobacz również:

• Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC
• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

Microsoft odkrył, że podobnie jak starsze warianty tego zagrożenia , Sysrv-K skanuje komputer w poszukiwaniu kluczy SSH, adresów IP i nazw hostów, a następnie próbuje połączyć się z innymi systemami w sieci przez SSH, po to aby zainstalować na nich kopie złośliwego kodu.

W ten sposób reszta sieci narażona jest na to, że stanie się częścią botnetu Sysrv-K, który będzie dalej próbował infekować kolejne ofiary. Korporacja ostrzega więc firmy, aby zabezpieczały w odpowiedni sposób systemy mające dostęp do Internetu oraz instalowały bez zwłoki na nich wszystkie poprawki bezpieczeństwa, co może je uchronić przed przykrymi konsekwencjami takich ataków.