Если вы забыли обновить или должным образом защитить подключенный к Интернету сервер или веб-приложение, существует высокая вероятность того, что ботнет крипто-майнинга заразит его первым, задолго до какой-либо группы хакеров.

Ботнеты для крипто-майнинга были чумой в Интернете в течение последних трех лет, и, несмотря на то, что пространство более чем заполнено, новые ботнеты регулярно появляются и обнаруживаются, главным образом из-за неутолимой жажды киберпреступников к легким деньгам.

Последнее из этих открытий - ботнет  Sysrv. Этот ботнет, активный с декабря 2020 года, нацелен на корпоративные веб-приложения, использующие либо эксплойты для старых уязвимостей, либо старую добрую атаку методом перебора.

Ботнет состоит из инфраструктуры управления и контроля (C&C), которая сканирует Интернет на наличие уязвимых систем, а затем дает указание своим атакующим серверам или уже зараженным системам запускать атаки/эксплойты и создавать новых ботов.

Sysrv способен заражать системы как Linux, так и Windows, что под силу не всем ботнетам для крипто-майнинга. Это, подразумевает, что с этим ботнетом была проведена серьезная работа по его развитию.

Во многом это было достигнуто за счет кодирования вредоносного ПО на Go, языке программирования, который все больше используется в операциях с вредоносными программами.

Кроме того, Sysrv также чрезвычайно агрессивен в постинфекционных процедурах. Во-первых, он содержит компонент, который будет выслеживать другие ботнеты для майнинга криптовалют и завершать их процессы. Это говорит о том, что оператор ботнета не только подумал о конкурентах, но и изучил их методы работы, а также разработал серию контрмер для каждого из них, что обычно не делают остальные вредоносные программы.

Во-вторых, Sysrv также имеет функцию, которая сканирует зараженные серверы на предмет секретных ключей SSH в определенных местах, где веб-разработчики могут оставлять учетные данные для автоматизации и взаимосвязи различных приложений и инфраструктуры разработки. Sysrv принимает эти SSH-ключи и регистрируется в удаленных системах, перемещается горизонтально внутри сети компании и создает новых ботов, тем самым разворачивая еще больше свою инфраструктуру крипто-майнинга.

Хотя исследователи безопасности обнаружили некоторые из кошельков криптовалюты Monero, в которых команда Sysrv, по-видимому, хранит незаконно добытые средства, и обнаружила прибыль в диапазоне тысяч долларов США, прибыль ботнета, скорее всего, намного больше, поскольку эти типы ботнетов обычно разделяют свои доходы по нескольким местам.

При обнаружении каких-либо заражений - из-за способности ботнета собирать ключи SSH - компании должны просто стереть и заменить старые учетные данные, а затем инициировать проверки для обнаружения других зараженных узлов.

При нынешнем положении дел и благодаря буму обменных курсов криптовалюты ожидается, что ботнеты для майнинга криптовалют, такие как Sysrv, еще долго останутся на сцене вредоносного ПО.