За чужой счет: как хакеры наживаются на скрытом майнинге?

Дата: 28.04.2021. Автор: АО НИП «Информзащита». Категории: Статьи по информационной безопасности
За чужой счет: как хакеры наживаются на скрытом майнинге?

Эксперты «Информзащиты» предупреждают об угрозе со стороны черных майнеров

Специалисты по кибербезопасности «Информзащиты» обнаружили вредоносное ПО для скрытого майнинга в инфраструктуре компании добывающей отрасли. По предварительным данным, злоумышленники орудовали в сети больше трех месяцев и добыли криптовалюту более чем на 90 млн рублей. Судя по характеру взлома и анализу многочисленных следов, работали группировки из России и СНГ.

Хакеры действовали открыто: не пытались скрыть следы и национальную принадлежность, использовали простые тактики компрометации хостов. «Они не заметали следы, не боялись того, что будут обнаружены. Работали по принципу «взломаем 1000 компьютеров сегодня, завтра нас удалят с 500, зато еще половина останется»», – заявил эксперт по компьютерной криминалистике IZ:SOC «Информзащиты» Максим Тумаков. «Данный эпизод – классическая история про то, что происходит в корпоративной инфраструктуре, если компания не подключена к внешнему мониторингу киберугроз или не имеет своего центра обнаружения хакерских атак: злоумышленники находятся в системе незаметно, не прилагая к этому никаких усилий,» — комментирует эксперт.

Всплеск популярности черного майнинга можно было наблюдать еще в 2017-2018 годах, когда криптовалюта переживала свой подъем. 2020 год тоже стал годом роста на рынке цифровых денег, несмотря на временное падение в феврале, связанное с началом и развитием пандемии. Соответственно, популярность у злоумышленников вредоносного ПО, добывающего цифровую валюту, опять возросла. Сам процесс майнинга не является незаконным, однако хакеры, используя уязвимости в операционной системе устанавливают программы-майнеры и добывают криптовалюту, используя чужие ресурсы. В результате жертва получает значительное падение производительности системы. Если в случаях персональных взломов, пользователю грозит разве что «подтормаживание» компьютера и большие счета за электричество, то при атаке на корпоративную инфраструктуру, значительно падает скорость обработки данных, а значит риску подвергаются все бизнес-процессы предприятия.

Желающих обогатиться за счет ресурсов компаний может быть много, так как для майнинга не требуется специфических знаний: достаточно иметь базовый навык программирования и изучить популярные хакерские техники. Однако, группировки хакеров высокого класса могут оставаться незамеченными, применяя сложные тактики и используя лишь часть вычислительных ресурсов. Такие действия злоумышленников сложны в детектировании, и организации долгое время могут не подозревать, что участвуют в добыче цифровой валюты.

Эксперты по кибербезопасности предупреждают, что жертвой майнеров становятся и корпоративные сети, и компьютеры обычных пользователей. Основной способ установки майнеров – это инсталляторы ПО, распространяемые с помощью социальной инженерии. Получить ощутимый доход даже с десяти домашних компьютеров невозможно, поэтому майнеры придумывают новые способы добычи криптовалюты, используя как можно больше чужой вычислительные мощности. Чтобы не поймать вирус-майнер, для обычного пользователя достаточно устанавливать антивирус и обновлять базы, а так же скачивать файлы только из надежных источников и устанавливать программы от проверенных разработчиков. 

Проникновение в корпоративную сеть – это уже инцидент информационной безопасности, для устранения которого необходимо привлекать киберспециалистов, так как способы и вектора атак постоянно эволюционируют и сложно детектируются при заражении. Штатные действия службы ИБ компании при обнаружении майнеров должны быть следующие:

  1. попытаться определить используемое семейство майнеров и найти информацию по ним в публичном доступе;
  2. выявить количество зараженных систем в сети;
  3. выбрать метод борьбы с вредоносным ПО;
  4. контролировать исходящие сетевые соединения из сети;
  5. отследить в общем потоке трафика соединения с серверами управления злоумышленников (если такие соединения есть в сети, то значит не все образы удалось удалить).
  6. проводить мониторинг событий безопасности в инфраструктуре компании In-house или внешним SOCом, своевременное реагирование и расследование инцидентов ИБ, аудит информационных ресурсов в компании.
АО НИП «Информзащита»

Об авторе АО НИП «Информзащита»

Компания «Информзащита» основана в 1995 году и в настоящее время является ведущим российским системным интегратором в области информационной безопасности
Читать все записи автора АО НИП «Информзащита»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *