מיקרוסופט מזהירה מבוטנט חדש, שמסכן מערכות Windows ולינוקס

מיקרוסופט הנפיקה אמש (ב') אזהרה, כיוון שחוקרי האבטחה שלה נתקלו בגרסה חדשה של רשת הבוטנטים Sysrv. זו תומכת ביכולות נוספות של ניצול פרצות ועלולה להשיג שליטה על שרתי ווב של הקורבן הארגוני.

משפחת הבוטנטים קיימת מאז דצמבר 2020 וידועה ככזו שמכוונת למערכות Windows ולינוקס, תוך שהיא מתקינה במחשבי הקורבנות – ללא ידיעתם, כמובן – יכולות לכריית המטבע הקריפטוגרפי מונרו.

הגרסה החדשה, המכונה Sysrv-K, מתאפיינת בהיותה תולעת – משמע, היא בעלת יכולת התפשטות עצמית למחשבים אחרים, כשהיא נושאת בתוכה נוזקה, שאותה היא מפיצה. חוקרי הענקית מרדמונד צייצו בטוויטר כי גרסה זו סורקת את האינטרנט לאיתור נקודות תורפה באפליקציות ווב ובסיסי נתונים, שם היא מטמיעה את עצמה. בדומה לגרסאות ישנות יותר של רשת הבוטים, Sysrv-K סורק מפתחות של פרוטוקול התקשורת SSH, כתובות IP ו-Host names – לפני שהיא מנסה להפיץ עותקים של עצמה ברחבי הרשת.

"רוב הארגונים צריכים לדאוג"

"Sysrv-K", ציינו חוקרי מיקרוסופט, "צריכה להוות מקור לדאגה לרוב הארגונים, כי יש להם מערכות מבוססות Windows או לינוקס שמקושרות לאינטרנט". החוקרים המליצו לכלל הארגונים "לאבטח את כל המערכות שלהם שפונות לאינטרנט ולתקן פרצות אבטחה ידועות".

"יכולות הפגיעות וניצול הפגיעויות המשמשות את Sysrv-K הן תערובת של איומים ישנים וחדשים יותר, וכוללות אינספור סוגי איומים – בין השאר, גילויי קבצים מרחוק, הורדת קבצים שרירותית וביצוע השתלטות מרחוק בעזרת נוזקה ייעודית למטרה זו", הוסיפו החוקרים.

סריקה של קבצי התצורה של וורדפרס והגיבויים שלהם

אחת מיכולות הפגיעה החדשות שנצפתה ב-Sysrv-K, ולא הופיעה בגרסאות קודמות, היא סריקה של קבצי התצורה של וורדפרס והגיבויים שלהם, כדי לאחזר אישורי גישה לבסיסי נתונים. הגרסה החדשה משתמשת באישורים שנקצרו כדי להשיג שליטה על שרת הווב של הארגון הקורבן, ואז היא יכולה להשתמש בכלי התקשורת המשודרגים שלה, כגון גישה לבוט של טלגרם.

כאמור, משפחת הבוטנטים Sysrv קיימת מאז דצמבר 2020, אך פעילותה התגלתה בראשונה בסביבות מרץ 2021 – אז חברות אבטחת סייבר החלו לנתח את הפעילות ההתקפית שלה. מאז שהיא "הושקה" חלו כמה שיפורים ב-Sysrv, בהם קובץ בינארי שכתוב ב-Go, שפת פיתוח חוצת פלטפורמות, שהיא מאוד פופולרית בקרב פושעי סייבר. דפוס פעילות נוסף שלה הוא הסרת כל כורי מטבעות קריפטוגרפיים שמותקנים על מחשב הקורבן, כדי שהוא יוכל "להתמקד" בכריית מטבע המונרו, וכן עריכת שינוי בפיירוול של המערכת.