Розслідування безпеки виявили зловмисне програмне забезпечення, яке відкриває порти віддаленого робочого столу на брандмауері. Порти RDP (віддалений робочий стіл) налаштовані, це полегшує зловмисникам зловживання портами RDP пізніше.
Зловмисне програмне забезпечення Sarwent використовується з 2018 року. На початку 2020 року Віталій Квемез надіслав твіт про зловмисне програмне забезпечення Sarwent, але в Інтернеті мало інформації про зловмисне програмне забезпечення Sarwent.
Спосіб поширення шкідливих програм Sarwent не зовсім відомий; Є підозра, що Sarwent поширюється через інше шкідливе програмне забезпечення, можливо, через ботнети.
Що відомо про Sarwent, так це те, що після зараження шкідливе програмне забезпечення створює новий Windows обліковий запис користувача на комп’ютері та відкриває порт RDP 3389 на комп’ютері та в брандмауері. RDP, швидше за все, буде відкрито, щоб пізніше отримати доступ до зараженого комп’ютера через створений Windows обліковий запис користувача.
IP-адреси Sarwent, хеші MD5 та домени відомі від Sarwent, ці деталі розповсюджуються в IOC (Індикатори компромісу), щоб компанії могли виявити Sarwent.