Коопсуздук боюнча иликтөөлөр брандмауэрде Алыскы иштакта портторун ачкан кесепеттүү программаны тапты. RDP (Алыскы иш тактасы) порттору орнотулган, бул чабуулчуларга кийинчерээк RDP портторун кыянаттык менен пайдаланууну жеңилдетет.
Sarwent кесепеттүү программасы 2018-жылдан бери колдонулуп келет. 2020-жылдын башында Витали Квемез Sarwent кесепеттүү программасы тууралуу твит жөнөткөн, бирок интернетте Sarwent зыяндуу программасы тууралуу маалымат аз.
Sarwent зыяндуу программалык камсыздоонун таралуу жолу толугу менен белгилүү эмес; Sarwent башка зыяндуу программалар аркылуу, балким ботнеттерде тараган деп шектелүүдө.
Sarwent жөнүндө белгилүү болгон нерсе инфекциядан кийин кесепеттүү программа жаңысын жаратат Windows компьютерде колдонуучунун эсебин ачат жана компьютерде жана Firewallда RDP 3389 портун ачат. RDP, балким, кийинчерээк жаралган аркылуу жуккан компьютерге жетүү үчүн ачылат Windows колдонуучу аккаунту.
Sarwent IP даректери, MD5 хэштери жана домендери Sarwentтен белгилүү, бул деталдар Сарвентти аныктоо үчүн IOCs (Компромисс көрсөткүчтөрү) бөлүштүрүлөт.