Спецпроекты

Эксперты «Информзащиты» предупреждают об угрозе со стороны черных майнеров

Безопасность Пользователю

Специалисты по кибербезопасности «Информзащиты» обнаружили вредоносное ПО для скрытого майнинга в инфраструктуре компании добывающей отрасли. По предварительным данным, злоумышленники орудовали в сети больше трех месяцев и добыли криптовалюту более чем на 90 млн рублей. Судя по характеру взлома и анализу многочисленных следов, работали группировки из России и СНГ.

Хакеры действовали открыто: не пытались скрыть следы и национальную принадлежность, использовали простые тактики компрометации хостов.

«Они не заметали следы, не боялись того, что будут обнаружены. Работали по принципу «взломаем 1000 компьютеров сегодня, завтра нас удалят с 500, зато еще половина останется», – заявил эксперт по компьютерной криминалистике IZ:SOC «Информзащиты» Максим Тумаков.

«Данный эпизод – классическая история про то, что происходит в корпоративной инфраструктуре, если компания не подключена к внешнему мониторингу киберугроз или не имеет своего центра обнаружения хакерских атак: злоумышленники находятся в системе незаметно, не прилагая к этому никаких усилий,» - комментирует эксперт.

Всплеск популярности черного майнинга можно было наблюдать еще в 2017-2018 годах, когда криптовалюта переживала свой подъем. 2020 год тоже стал годом роста на рынке цифровых денег, несмотря на временное падение в феврале, связанное с началом и развитием пандемии. Соответственно, популярность у злоумышленников вредоносного ПО, добывающего цифровую валюту, опять возросла. Сам процесс майнинга не является незаконным, однако хакеры, используя уязвимости в операционной системе устанавливают программы-майнеры и добывают криптовалюту, используя чужие ресурсы. В результате жертва получает значительное падение производительности системы. Если в случаях персональных взломов, пользователю грозит разве что «подтормаживание» компьютера и большие счета за электричество, то при атаке на корпоративную инфраструктуру, значительно падает скорость обработки данных, а значит риску подвергаются все бизнес-процессы предприятия.

Желающих обогатиться за счет ресурсов компаний может быть много, так как для майнинга не требуется специфических знаний: достаточно иметь базовый навык программирования и изучить популярные хакерские техники. Однако, группировки хакеров высокого класса могут оставаться незамеченными, применяя сложные тактики и используя лишь часть вычислительных ресурсов. Такие действия злоумышленников сложны в детектировании, и организации долгое время могут не подозревать, что участвуют в добыче цифровой валюты.

Эксперты по кибербезопасности предупреждают, что жертвой майнеров становятся и корпоративные сети, и компьютеры обычных пользователей. Основной способ установки майнеров – это инсталляторы ПО, распространяемые с помощью социальной инженерии. Получить ощутимый доход даже с десяти домашних компьютеров невозможно, поэтому майнеры придумывают новые способы добычи криптовалюты, используя как можно больше чужой вычислительные мощности. Чтобы не поймать вирус-майнер, для обычного пользователя достаточно устанавливать антивирус и обновлять базы, а так же скачивать файлы только из надежных источников и устанавливать программы от проверенных разработчиков.

Проникновение в корпоративную сеть – это уже инцидент информационной безопасности, для устранения которого необходимо привлекать киберспециалистов, так как способы и вектора атак постоянно эволюционируют и сложно детектируются при заражении. Штатные действия службы ИБ компании при обнаружении майнеров должны быть следующие: попытаться определить используемое семейство майнеров и найти информацию по ним в публичном доступе; выявить количество зараженных систем в сети; выбрать метод борьбы с вредоносным ПО; контролировать исходящие сетевые соединения из сети; отследить в общем потоке трафика соединения с серверами управления злоумышленников (если такие соединения есть в сети, то значит не все образы удалось удалить).

Проводить мониторинг событий безопасности в инфраструктуре компании In-house или внешним SOCом, своевременное реагирование и расследование инцидентов ИБ, аудит информационных ресурсов в компании.