Расследования безопасности обнаружили вредоносное ПО, которое открывает порты удаленного рабочего стола на брандмауэре. Порты RDP (удаленный рабочий стол) настроены, это облегчает злоумышленникам возможность злоупотребления портами RDP в дальнейшем.
Вредоносная программа Sarwent используется с 2018 года. В начале 2020 года Виталий Квемез отправил твит о вредоносной программе Sarwent, но в Интернете мало информации о вредоносной программе Sarwent.
Способ распространения вредоносного ПО Sarwent не совсем известен; подозревается, что Sarwent распространяется через другое вредоносное ПО, возможно, в ботнетах.
Что известно о Sarwent, так это то, что после заражения вредоносное ПО создает новый Windows учетную запись пользователя на компьютере и открывает RDP-порт 3389 на компьютере и в брандмауэре. RDP, скорее всего, будет открыт для того, чтобы в дальнейшем получить доступ к зараженному компьютеру через созданный Windows учетная запись пользователя.
IP-адреса Sarwent, хэши MD5 и домены известны от Sarwent, эти данные передаются в IOC (Индикаторы компрометации) для компаний, чтобы обнаружить Sarwent.