Специалисты по кибербезопасности «Информзащиты» обнаружили вредоносное ПО для скрытого майнинга в инфраструктуре компании добывающей отрасли. По предварительным данным, злоумышленники орудовали в сети больше трех месяцев и добыли криптовалюту более чем на 90 млн рублей. Судя по характеру взлома и анализу многочисленных следов, работали группировки из России и СНГ.
Хакеры действовали открыто: не пытались скрыть следы и национальную принадлежность, использовали простые тактики компрометации хостов. «Они не заметали следы, не боялись того, что будут обнаружены. Работали по принципу "взломаем 1000 компьютеров сегодня, завтра нас удалят с 500, зато еще половина останется"», – заявил эксперт по компьютерной криминалистике IZ:SOC «Информзащиты» Максим Тумаков. «Данный эпизод – классическая история про то, что происходит в корпоративной инфраструктуре, если компания не подключена к внешнему мониторингу киберугроз или не имеет своего центра обнаружения хакерских атак: злоумышленники находятся в системе незаметно, не прилагая к этому никаких усилий,» - комментирует эксперт.
Всплеск популярности черного майнинга можно было наблюдать еще в 2017-2018 годах, когда криптовалюта переживала свой подъем. 2020 год тоже стал годом роста на рынке цифровых денег, несмотря на временное падение в феврале, связанное с началом и развитием пандемии. Соответственно, популярность у злоумышленников вредоносного ПО, добывающего цифровую валюту, опять возросла. Сам процесс майнинга не является незаконным, однако хакеры, используя уязвимости в операционной системе устанавливают программы-майнеры и добывают криптовалюту, используя чужие ресурсы. В результате жертва получает значительное падение производительности системы. Если в случаях персональных взломов, пользователю грозит разве что «подтормаживание» компьютера и большие счета за электричество, то при атаке на корпоративную инфраструктуру, значительно падает скорость обработки данных, а значит риску подвергаются все бизнес-процессы предприятия.
Желающих обогатиться за счет ресурсов компаний может быть много, так как для майнинга не требуется специфических знаний: достаточно иметь базовый навык программирования и изучить популярные хакерские техники. Однако, группировки хакеров высокого класса могут оставаться незамеченными, применяя сложные тактики и используя лишь часть вычислительных ресурсов. Такие действия злоумышленников сложны в детектировании, и организации долгое время могут не подозревать, что участвуют в добыче цифровой валюты.
Эксперты по кибербезопасности предупреждают, что жертвой майнеров становятся и корпоративные сети, и компьютеры обычных пользователей. Основной способ установки майнеров – это инсталляторы ПО, распространяемые с помощью социальной инженерии. Получить ощутимый доход даже с десяти домашних компьютеров невозможно, поэтому майнеры придумывают новые способы добычи криптовалюты, используя как можно больше чужой вычислительные мощности. Чтобы не поймать вирус-майнер, для обычного пользователя достаточно устанавливать антивирус и обновлять базы, а так же скачивать файлы только из надежных источников и устанавливать программы от проверенных разработчиков.
Проникновение в корпоративную сеть – это уже инцидент информационной безопасности, для устранения которого необходимо привлекать киберспециалистов, так как способы и вектора атак постоянно эволюционируют и сложно детектируются при заражении. Штатные действия службы ИБ компании при обнаружении майнеров должны быть следующие:
- попытаться определить используемое семейство майнеров и найти информацию по ним в публичном доступе;
- выявить количество зараженных систем в сети;
- выбрать метод борьбы с вредоносным ПО;
- контролировать исходящие сетевые соединения из сети;
- отследить в общем потоке трафика соединения с серверами управления злоумышленников (если такие соединения есть в сети, то значит не все образы удалось удалить).
- проводить мониторинг событий безопасности в инфраструктуре компании In-house или внешним SOCом, своевременное реагирование и расследование инцидентов ИБ, аудит информационных ресурсов в компании.