Mae ymchwiliadau diogelwch wedi dod o hyd i malware sy'n agor porthladdoedd bwrdd gwaith Anghysbell ar y wal dân. Mae'r porthladdoedd RDP (penbwrdd Remote) wedi'u sefydlu, mae hyn yn ei gwneud hi'n haws i ymosodwyr gam-drin y porthladdoedd RDP yn ddiweddarach.
Mae'r malware Sarwent wedi bod yn cael ei ddefnyddio ers 2018. Ar ddechrau 2020 anfonodd Vitali Kwemez drydariad am y malware Sarwent ond ychydig o wybodaeth sydd ar y rhyngrwyd am malware Sarwent.
Nid yw y modd y taenir drwgwedd Sarwent yn hollol hysbys; amheuir bod Sarwent yn cael ei ledaenu trwy malware arall, o bosibl mewn botnets.
Yr hyn sy'n hysbys am Sarwent yw bod y malware yn creu newydd ar ôl haint Windows cyfrif defnyddiwr ar y cyfrifiadur ac yn agor porthladd RDP 3389 ar y cyfrifiadur ac yn y Firewall. Bydd RDP yn fwyaf tebygol o gael ei agor er mwyn cael mynediad yn ddiweddarach i'r cyfrifiadur heintiedig trwy'r a grëwyd Windows cyfrif defnyddiwr.
Mae cyfeiriadau IP Sarwent, hashes MD5, a pharthau yn hysbys o Sarwent, mae'r manylion hyn yn cael eu dosbarthu i IOCs (Dangosyddion cyfaddawd) i gwmnïau ganfod Sarwent.