Die IT-Sicherheitsexperten von Microsoft haben das Botnet Sysrv beobachtet und dabei eine neue Variante entdeckt. Diese greife offenbar Sicherheitslücken an, für die schon Updates bereitstehen. Nach einem erfolgreichen Einbruch schürften die Cyberkriminellen auf den befallenen Maschinen Kryptowährungen. Auf Twitter schreiben die Forscher, dass das Sysrv-Botnet dafür bekannt sei, bekannte Schwachstellen in Web-Apps und Datenbanken zu missbrauchen, um Krypto-Miner auf Windows- und Linux-Systeme zu installieren. Die neue Variante, die das Unternehmen Sysrv-K nennt, ergänzt weitere Exploits für Schwachstellen und könne die Kontrolle über Webserver übernehmen. Sysrv-K scanne das Internet nach verwundbaren Servern ab, um sich darauf zu installieren. Die Schwachstellen reichten von Path-Traversal-Lücken und unbefugtem Dateizugriff aus der Ferne bis zum Download beliebiger Dateien und Ausführen von Schadcode aus dem Netz. Dazu gehören Sicherheitslücken in WordPress-Plug-ins ebenso wie die kritische Spring-Cloud-Gateway-Lücke mit dem CVE-Eintrag CVE-2022-22947. Zu den neuen Verhaltensweisen zähle etwa die Suche nach WordPress-Konfigurationsdateien und deren Backups, um an die Datenbank-Zugangsdaten zu gelangen und damit die Kontrolle über den Webserver zu übernehmen. Wie die älteren Versionen scanne Sysrv-K weiterhin etwa nach SSH-Schlüsseln, IP-Adressen und Hostnamen, um sich mit weiteren Systemen im Netz zu verbinden und Kopien von sich selbst zu installieren. Microsofts IT-Forensiker empfehlen daher, insbesondere Systeme, die im Internet erreichbar sind, sehr zügig mit bereitstehenden Aktualisierungen zu versorgen. Zudem sollten IT-Verantwortliche „Zugangshygiene“ betreiben, also nur die Zugänge freischalten und die Nutzer freigeben, die wirklich benötigt werden.