© ComNews
13.08.2018

Group-IB зафиксировал новые вспышки угрозы нелегитимного майнинга (криптоджекинга) в сетях коммерческих и государственных организаций. Опасной тенденцией эксперты Group-IB называют широкую доступность троянов-майнеров, предназначенных для использования чужих устройств и инфраструктуры в целях нелегитимной генерации различных типов криптовалюты.

Как указывается в исследовании компании, по данным системы Group-IB Threat Intelligence за год количество объявлений на теневых форумах, в которых предлагаются программы для майнинга на продажу или в аренду, увеличилось в 5 раз (первое полугодие 2018 против первого полугодия 2017). "За первое полугодие 2018 г. система Threat Intelligence (Киберразведка) Group-IB зафиксировала 477 объявлений на хакерских форумах о продаже или аренде программ для майнинга, в то время как за аналогичный период 2017 г. их количество было в пять раз меньше – 99", - поясняется в исследовании. При этом эксперт по киберразведке Group-IB Рустам Миркасымов прокомментировал эти показатели исследования следующим образом: "Это данные по всему миру. Мы не можем выделить цифры только по России, так как площадки интернациональные и угрозы актуальны для всего мира. И наоборот. Нельзя утверждать, что актуальные угрозы для иностранных государств неактуальны для РФ".  

Вместе с тем, эксперты Group-IB делают следующий вывод: "Криптоджекинг (использование вычислительной мощности компьютера или инфраструктуры для майнинга криптовалюты без согласия или ведома владельца) по-прежнему остается сравнительно популярным методом обогащения, несмотря на плавную тенденцию к уменьшению числа инцидентов, связанных с этим видом мошенничества".

О причине роста присутствия объявлений на хакерских форумах о продаже или аренде программ для майнинга Рустам Миркасымов говорит следующее: "В первую очередь, это связано именно с тем, что сам по себе майнер - это легитимное программное обеспечение (ПО). Никто не запрещает майнить криптовалюту. В то же время, владельцы бот-сетей теряют потенциальную прибыль с тех зараженных устройств, владельцы которых не пользуются интернет-банкингом или имеют слишком мало денег на счетах. Если раньше на такие компьютеры устанавливали криптовымогатели, то сегодня можно установить майнер на машину жертвы и получать пассивный доход. Также стоит отметить относительно большую безопасность получения прибыли с такого вида деятельности: при краже денег с банковских счетов у преступников встает вопрос с обналичиванием, с криптовалютой же хакер увеличивает свои шансы безопасно обналичить деньги. В случае с заражением "умной" техники - майнинг один из немногих способов получить доход".

Эксперты Group-IB также отмечают, что потенциальными точками роста для подобных хищений могут стать не только рост предложений по приобретению программ-майнеров на форумах Darknet, но и сравнительно низкая цена на них - минимальная цена на программы для скрытого майнинга составила $0,5, в среднем стоимость - $10.

"Низкий "порог входа" на рынок "черного заработка" на нелегальном майнинге приводит к тому, что добычей криптовалюты занимаются люди без технических знаний и какого-либо опыта участия в мошеннических схемах. Получив доступ к простым инструментам для скрытого майнинга криптовалют, они не считают это преступлением, тем более что российское законодательное поле пока еще оставляет достаточно количество лазеек для того, чтобы избежать преследования за подобные хищения. Случаев ареста и практики судебного преследования за криптоджекинг по-прежнему единицы, несмотря на то, что большинство методов установки программы-майнера предполагают нарушение 272 и 273 статей УК РФ", - дополнил Рустам Миркасымов.

Он также заметил, что как таковая частота использования преступниками майнинговых зловредов определенно увеличивается. "Многие разработчики ботнет-троянов встраивают возможность установки майнера на компьютер жертвы, помимо стандартных способов кражи денег через интернет-банкинг и использования криптовымогателей. На рынке вредоносного программного обеспечения (ВПО) даже появляются новые услуги - так называемые "партнерки". Покупателям предлагается установить майнер на компьютеры, а затем получать процент от прибыли", - рассказал Рустам Миркасымов.

Помимо того, он указал, что спрос на майнинговые зловреды определенно есть. Те же самые Lazarus (проправительственные хакеры Северной Кореи), по его словам, активно устаналивают майнеры на зараженные компьютеры. "Доходило до смешного: компьютеры, являющиеся точкой входа в скомпрометированную сеть атакуемого банка, также майнили криптовалюту для Lazarus", - рассказал Рустам Миркасымов.

Вместе с тем, эксперты Group-IB отмечают, что любое устройство (компьютер, смартфон, IoT, сервер и тд.) может быть использовано для криптоджекинга и именно поэтому установки систем детектирования на уровне рабочих станций недостаточно. "Новые виды программ для майнинга, которые легко обходят системы безопасности, основанные только на сигнатурном подходе, появляются постоянно. Симметричным ответом этой угрозе стало детектирование разных проявлений майнинга на сетевом уровне. Для этого необходимо использовать, в том числе, технологии поведенческого анализа для выявления ранее неизвестных программ и инструментов", - сообщают эксперты Group-IB.

Помимо того, они предупреждают о том, что майнинг несет не только прямые финансовые потери вследствие повышенных затрат на электричество. Это также угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств. Заражение инфраструктуры трояном-майнером может привести к отказу корпоративных приложений, сетей и систем. Несанкционированная работа сторонних программ без ведома владельцев бизнеса чревата репутационными потерями, а также рисками со стороны комплаенса и регуляторов.

Для комплексного противодействия криптоджекингу, по словам экспертов Group-IB, важно выявлять все формы вредоносного кода, распространяющегося или уже работающего в сети, на основе регулярно обновляемой базы угроз систем класса Threat Intelligence. Анализ подозрительной активности всегда должен производиться в безопасной изолированной среде, при этом обеспечивая полную конфиденциальность данных о зараженных машинах, сегментах инфраструктуры и других ресурсах. Важно защищаться не только внутри своей сети, но и выявлять инструменты криптомайнинга, запускающие java-скрипт на взломанных ресурсах, целью которых является заражение как можно большего количества жертв. "Есть и еще один, в последнее время набирающий популярность тип мошенничества: это классический инсайдер. Компании должны иметь возможность защищаться в том числе и от собственных недобросовестных сотрудников, решивших умножить свой доход за счет ресурсов работодателя", - обращают внимание эксперты Group-IB.

Говоря о современной деятельности майнеров, антивирусный эксперт АО "Лаборатория Касперского" Алексей Маланов отметил следующее: "Согласно нашим данным, в настоящее время активность майнеров значительно увеличилась. Общее количество пользователей, столкнувшихся с зловредами-майнерами, в 2017–2018 гг. выросло почти на 44,5% по сравнению с 2016–2017 гг. – c 1,9 млн до 2,7 млн. Но нельзя сказать, что это следствие увеличения количества объявлений на форумах. Объявления исчисляются сотнями, а количество отраженных атак идет на миллионы. Ведь майнер недостаточно купить, его еще надо распространить, и тут все всецело зависит от покупателя".

Аналитик ГК InfoWatch Сергей Хайрук в разговоре с корреспондентом ComNews указал на следующее: "Использование сотрудниками ПО для несанкционированного майнинга на мощностях работодателя действительно является проблемой. Впрочем, ее значение не следует и преувеличивать – современные технические средства способны отслеживать подозрительную активность. Для защиты от подобных действий могут быть использованы различные подходы, как на техническом уровне, например, межсетевые экраны, так и на пользовательском, включая системы класса Employee Monitoring, поведенческой аналитики (UEBA - User and Entity Behavior Analytics)".

Например, как далее отметил Сергей Хайрук, у InfoWatch есть решение Person Monitor, которое автоматически формирует отчеты о загрузке графического процессора видеокарты рабочих станций и позволяет обнаружить скрытый майнинг на ресурсах компании. "Если говорить о предиктивной аналитике, то мы разработали решение InfoWatch Prediction, выход которого ожидается в 2018 г. Она обрабатывает и анализирует большие данные организации и с помощью технологий искусственного интеллекта, машинного обучения решает различные прикладные задачи на основе прогнозирования рисков информационной безопасности", - добавил Сергей Хайрук.

Руководитель отдела технического сопровождения продуктов и сервисов Eset Russia (ООО "Исет Софтвеа") Сергей Кузнецов в беседе с корреспондентом ComNews заметил, что упомянутый Group-IB рост числа предложений – остаточное явление, последствия ажиотажа вокруг майнеров, который наблюдался в 2017– начале 2018 г. "По ощущениям, пик активности использования криптомайнеров позади", - поделился Сергей Кузнецов.

При этом он сообщил, что, по статистике Eset LiveGrid, криптомайнеры входят в первую десятку наиболее активных вредоносных программ. "Например, в июле на браузерный майнер JS/CoinMiner пришлось 4,48% срабатываний антивирусных продуктов Eset в мире и 3,82% в России. Надо отметить, что это лишь попытки заражения – антивирус без проблем детектирует и блокирует эту угрозу. Судя по запросам в нашу техподдержку, время успешных атак криптомайнеров прошло", - проинформировал Сергей Кузнецов.

По словам технического директора Check Point Software Technologies Никиты Дурова, действительно, злоумышленники все чаще атакуют организации с помощью скрытых криптомайнеров. "По данным Check Point Research, активность майнинговых зловредов выросла в два раза - с 20,5% во второй половине 2017 г. до 42% в первой половине 2018 г. Три самые активные версии вредоносного ПО в первом полугодии 2018 г. - скрытые криптомайнеры, на первом месте - Coinhive, который атаковал 30% организаций по всему миру. Криптомайнеры атакуют всевозможные устройства, от смартфонов до ПК, становятся все сложнее и серьезно продвинулись в использовании известных уязвимостей и уклонении от песочниц и антивирусов", - проинформировал Никита Дуров.

Директор центра мониторинга и реагирования на кибератаки Solar JSOC "Ростелеком-Solar" (ранее Solar Security (ООО "Солар секьюрити") Владимир Дрюков рассказал корреспонденту ComNews о том, что во втором полугодии 2017 г. аналитики центра мониторинга и реагирования на кибератаки Solar JSOC отмечали резкое распространение программного обеспечения для майнинга криптовалют. "Этот тренд остается в силе и в 2018 г.", - указал Владимир Дрюков.

При этом, по его словам, в отношении майнингового ПО заметна определенная отраслевая специфика заражений. "Так, в банках майнеры чаще всего обнаруживаются на рабочих станциях, куда они доставляются в рамках пакетов вредоносного ПО через почту или зараженные сайты. За пределами финансового сектора ситуация обстоит иначе: в среднем в каждой третьей организации Solar JSOC фиксирует инциденты, когда майнеры на серверном оборудовании компании устанавливают непосредственно сотрудники ИТ-департамента", - сообщил Владимир Дрюков.

Аналитик информационной безопасности Positive Technologies Вадим Соловьёв, беседуя с корреспондентом ComNews, заявил следующее: "По нашим данным, наибольшим спросом в дарквебе пользуются услуги, связанные с созданием и распространением ВПО (55% от всех предложенных в дарквебе услуг). При этом майнеры - очень распространенное вредоносное ПО. Спрос на него можно объяснить достаточно стабильным курсом криптовалют, а также тем, что криптоджекинг позволяет получать сразу монеты, без каких-либо шантажей, продажи данных, хищения средств со счетов и т.д".

Кроме того, по словам Вадима Соловьёва, рост интереса к хакингу и теневой культуре вызван непрекращающейся ее популяризацией, например, -  в виде сообщений о продаже различных схем заработка, в том числе связанных с киберпреступностью. "За год аудитория крупных телеграм-каналов с подобным контентом увеличилась на десятки процентов. Интерес, который проявляют злоумышленники, часто находит отражение в несложных атаках, к которым в том числе относится криптоджекинг из-за невысокой стоимости его проведения. Растущий интерес выливается в рост активности атак с применением криптомайнеров", - рассказал Вадим Соловьёв.