Sicherheitsuntersuchungen haben Malware gefunden, die Remote-Desktop-Ports auf der Firewall öffnet. Die RDP-Ports (Remote Desktop) sind eingerichtet, dies macht es Angreifern leichter, die RDP-Ports später zu missbrauchen.
Die Sarwent-Malware ist seit 2018 im Einsatz. Vitali Kwemez hat Anfang 2020 einen Tweet über die Sarwent-Malware verschickt, doch im Internet gibt es kaum Informationen über die Sarwent-Malware.
Die Art und Weise, wie Sarwent-Malware verbreitet wird, ist nicht vollständig bekannt. Es besteht der Verdacht, dass Sarwent über andere Malware verbreitet wird, möglicherweise in Botnets.
Was über Sarwent bekannt ist, ist, dass die Malware nach einer Infektion eine neue erstellt Windows Benutzerkonto auf dem Computer und öffnet den RDP-Port 3389 auf dem Computer und in der Firewall. RDP wird höchstwahrscheinlich geöffnet, um später über die erstellte auf den infizierten Computer zuzugreifen Windows Benutzerkonto.
Sarwent IP-Adressen, MD5-Hashes und Domains sind von Sarwent bekannt, diese Details werden an IOCs (Indicators of Compromise) verteilt, damit Unternehmen Sarwent erkennen können.