За чужой счет: как хакеры наживаются на скрытом майнинге

Хакеры действовали открыто: не пытались скрыть следы и национальную принадлежность, использовали простые тактики компрометации хостов. «Они не заметали следы, не боялись того, что будут обнаружены. Работали по принципу "взломаем 1000 компьютеров сегодня, завтра нас удалят с 500, зато еще половина останется"», – заявил эксперт по компьютерной криминалистике IZ:SOC «Информзащиты» Максим Тумаков. «Данный эпизод – классическая история про то, что происходит в корпоративной инфраструктуре, если компания не подключена к внешнему мониторингу киберугроз или не имеет своего центра обнаружения хакерских атак: злоумышленники находятся в системе незаметно, не прилагая к этому никаких усилий,» - комментирует эксперт.

Всплеск популярности черного майнинга можно было наблюдать еще в 2017-2018 годах, когда криптовалюта переживала свой подъем. 2020 год тоже стал годом роста на рынке цифровых денег, несмотря на временное падение в феврале, связанное с началом и развитием пандемии. Соответственно, популярность у злоумышленников вредоносного ПО, добывающего цифровую валюту, опять возросла. Сам процесс майнинга не является незаконным, однако хакеры, используя уязвимости в операционной системе устанавливают программы-майнеры и добывают криптовалюту, используя чужие ресурсы. В результате жертва получает значительное падение производительности системы. Если в случаях персональных взломов, пользователю грозит разве что «подтормаживание» компьютера и большие счета за электричество, то при атаке на корпоративную инфраструктуру, значительно падает скорость обработки данных, а значит риску подвергаются все бизнес-процессы предприятия.

Желающих обогатиться за счет ресурсов компаний может быть много, так как для майнинга не требуется специфических знаний: достаточно иметь базовый навык программирования и изучить популярные хакерские техники. Однако, группировки хакеров высокого класса могут оставаться незамеченными, применяя сложные тактики и используя лишь часть вычислительных ресурсов. Такие действия злоумышленников сложны в детектировании, и организации долгое время могут не подозревать, что участвуют в добыче цифровой валюты.

Эксперты по кибербезопасности предупреждают, что жертвой майнеров становятся и корпоративные сети, и компьютеры обычных пользователей. Основной способ установки майнеров – это инсталляторы ПО, распространяемые с помощью социальной инженерии. Получить ощутимый доход даже с десяти домашних компьютеров невозможно, поэтому майнеры придумывают новые способы добычи криптовалюты, используя как можно больше чужой вычислительные мощности. Чтобы не поймать вирус-майнер, для обычного пользователя достаточно устанавливать антивирус и обновлять базы, а так же скачивать файлы только из надежных источников и устанавливать программы от проверенных разработчиков.

Проникновение в корпоративную сеть – это уже инцидент информационной безопасности, для устранения которого необходимо привлекать киберспециалистов, так как способы и вектора атак постоянно эволюционируют и сложно детектируются при заражении. Штатные действия службы ИБ компании при обнаружении майнеров должны быть следующие:

1. попытаться определить используемое семейство майнеров и найти информацию по ним в публичном доступе;
2. выявить количество зараженных систем в сети;
3. выбрать метод борьбы с вредоносным ПО;
4. контролировать исходящие сетевые соединения из сети;
5. отследить в общем потоке трафика соединения с серверами управления злоумышленников (если такие соединения есть в сети, то значит не все образы удалось удалить).
6. проводить мониторинг событий безопасности в инфраструктуре компании In-house или внешним SOCом, своевременное реагирование и расследование инцидентов ИБ, аудит информационных ресурсов в компании.

По материалам Информзащиты