У вас произошел инцидент кибербезопасности? Телефон круглосуточной горячей линии: 8 (800) 100-2355.
Если авторизоваться не получается, то попробуйте восстановить пароль. Если у вас нет аккаунта на сайте, то вы можете зарегистрироваться.
Если авторизоваться не получается, то попробуйте восстановить пароль. Если у вас нет аккаунта на сайте, то вы можете зарегистрироваться.
Если авторизоваться не получается, то попробуйте восстановить пароль. Если у вас нет аккаунта на сайте, то вы можете зарегистрироваться.

Эксперты «Информзащиты» предупреждают об угрозе со стороны черных майнеров

28 апреля 2021

Специалисты по кибербезопасности «Информзащиты» обнаружили вредоносное ПО для скрытого майнинга в инфраструктуре компании добывающей отрасли. По предварительным данным, злоумышленники орудовали в сети больше трех месяцев и добыли криптовалюту более чем на 90 млн рублей. Судя по характеру взлома и анализу многочисленных следов, работали группировки из России и СНГ.

Хакеры действовали открыто: не пытались скрыть следы и национальную принадлежность, использовали простые тактики компрометации хостов. «Они не заметали следы, не боялись того, что будут обнаружены. Работали по принципу "взломаем 1000 компьютеров сегодня, завтра нас удалят с 500, зато еще половина останется"», – заявил эксперт по компьютерной криминалистике IZ:SOC «Информзащиты» Максим Тумаков. «Данный эпизод – классическая история про то, что происходит в корпоративной инфраструктуре, если компания не подключена к внешнему мониторингу киберугроз или не имеет своего центра обнаружения хакерских атак: злоумышленники находятся в системе незаметно, не прилагая к этому никаких усилий,» - комментирует эксперт.

Всплеск популярности черного майнинга можно было наблюдать еще в 2017-2018 годах, когда криптовалюта переживала свой подъем. 2020 год тоже стал годом роста на рынке цифровых денег, несмотря на временное падение в феврале, связанное с началом и развитием пандемии. Соответственно, популярность у злоумышленников вредоносного ПО, добывающего цифровую валюту, опять возросла. Сам процесс майнинга не является незаконным, однако хакеры, используя уязвимости в операционной системе устанавливают программы-майнеры и добывают криптовалюту, используя чужие ресурсы. В результате жертва получает значительное падение производительности системы. Если в случаях персональных взломов, пользователю грозит разве что «подтормаживание» компьютера и большие счета за электричество, то при атаке на корпоративную инфраструктуру, значительно падает скорость обработки данных, а значит риску подвергаются все бизнес-процессы предприятия.

Желающих обогатиться за счет ресурсов компаний может быть много, так как для майнинга не требуется специфических знаний: достаточно иметь базовый навык программирования и изучить популярные хакерские техники. Однако, группировки хакеров высокого класса могут оставаться незамеченными, применяя сложные тактики и используя лишь часть вычислительных ресурсов. Такие действия злоумышленников сложны в детектировании, и организации долгое время могут не подозревать, что участвуют в добыче цифровой валюты.

Эксперты по кибербезопасности предупреждают, что жертвой майнеров становятся и корпоративные сети, и компьютеры обычных пользователей. Основной способ установки майнеров – это инсталляторы ПО, распространяемые с помощью социальной инженерии. Получить ощутимый доход даже с десяти домашних компьютеров невозможно, поэтому майнеры придумывают новые способы добычи криптовалюты, используя как можно больше чужой вычислительные мощности. Чтобы не поймать вирус-майнер, для обычного пользователя достаточно устанавливать антивирус и обновлять базы, а так же скачивать файлы только из надежных источников и устанавливать программы от проверенных разработчиков.

Проникновение в корпоративную сеть – это уже инцидент информационной безопасности, для устранения которого необходимо привлекать киберспециалистов, так как способы и вектора атак постоянно эволюционируют и сложно детектируются при заражении. Штатные действия службы ИБ компании при обнаружении майнеров должны быть следующие:

  1. попытаться определить используемое семейство майнеров и найти информацию по ним в публичном доступе;
  2. выявить количество зараженных систем в сети;
  3. выбрать метод борьбы с вредоносным ПО;
  4. контролировать исходящие сетевые соединения из сети;
  5. отследить в общем потоке трафика соединения с серверами управления злоумышленников (если такие соединения есть в сети, то значит не все образы удалось удалить).
  6. проводить мониторинг событий безопасности в инфраструктуре компании In-house или внешним SOCом, своевременное реагирование и расследование инцидентов ИБ, аудит информационных ресурсов в компании.