L'investigazioni di sicurezza anu truvatu malware chì apre i porti di desktop Remote in u firewall. I porti RDP (Remote Desktop) sò stallati, questu facilita per l'attaccanti l'abusu di i porti RDP più tardi.
U malware Sarwent hè stata in usu da 2018. À u principiu di 2020 Vitali Kwemez hà mandatu un tweet nantu à u malware Sarwent, ma ci hè pocu infurmazione nantu à u malware Sarwent in Internet.
A manera in quale u malware Sarwent hè spargugliatu ùn hè micca sanu sanu; hè suspettatu chì Sarwent hè spargugliatu via altre malware, possibbilmente in botnets.
Ciò chì hè cunnisciutu di Sarwent hè chì dopu à l'infezzione u malware crea un novu Windows contu d'utilizatore nantu à l'urdinatore è apre u portu RDP 3389 in l'urdinatore è in u Firewall. RDP serà più prubabilmente apertu per accede dopu à l'urdinatore infettatu attraversu u creatu Windows contu d'utilizatore.
L'indirizzi IP di Sarwent, l'hash MD5 è i duminii sò cunnisciuti da Sarwent, sti dettagli sò distribuiti à IOC (Indicatori di cumprumissu) per e cumpagnie per detect Sarwent.