На сеть модных российских алкогольных бутиков напали тайные майнеры криптовалюты

Крупный импортер алкогольной продукции Simple с помощью компании Group-IB обнаружил в своих компьютерных сетях троянскую программу для майнинга криптовалют. Обычные антивирусы программу не засекли, поскольку для обнаружения майнеров нового типа нужен не сигнатурный, а поведенческий анализ.

Майнер в Simple

В компьютерных сетях группы компаний Simple была обнаружена троянская программа, которая скрыто добывала криптовалюту на части корпоративных хостов. Программу смогла засечь система раннего обнаружения киберугроз Threat Detection System, установленная в Simple ИБ-компанией Group-IB, о чем ее представители рассказали CNews.

Сама Simple, основанная в 1994 г., является одним из крупнейших импортеров и дистрибьюторов алкогольной продукции в России. Предлагаемый ассортимент насчитывает более 4 тыс. вин из 42 стран, также в него входят крепкие спиртные напитки, минеральные воды и соки. У компании есть своя сеть винотек SimpleWine, винные бары Grand Cru и SimpleWine&Bar, школа вина «Энотрия» и издательство Simple Wine News.

Как нашли майнера

Simple пользуется услугами Group-IB в сфере информационной безопасности уже три года. Некоторое время назад заказчик решил добавить к списку услуг еще одну — установить Threat Detection System. Сразу после установки модуль системы под названием TDS Sensor заметил подозрительную активность на части внутренних узлов клиента, которая была вызвана действиями ПО типа Coinminer, сообщает Group-IB.

Group-IB утверждает, что сканирование сети Simple «несколькими антивирусами крупнейших российских и европейских производителей», предпринятое ИТ-службой заказчика, не выявило угрозы. Идентифицировать троян удалось с помощью TDS Polygon, который представляет собой песочницу для выявления атак незнакомых программ.

TDS анализирует программу в изолированной среде, определяя степень ее вредоносности. В результате анализа угроза была классифицирована как программа-троян с функцией майнинга. После анализа дампа в Лаборатории компьютерной криминалистики Group-IB, Simple сразу заблокировал необходимые службы на хостах, где работал майнер, и устранил угрозу.

Майнинг на чужих мощностях

В Group-IB отмечают, что количество случаев скрытого майнинга снижается, однако угроза для частных и государственных компаний в России сохраняется. Поскольку для добычи криптовалют может быть использовано любое устройство, включая сервера, мобильную технику и устройства интернета вещей, устанавливать системы обнаружения нужно на сетевом уровне, а не на рабочие станции, поясняют в компании.

battles600.jpg

В компьютерных сетях крупного импортера вин была найдена программа для скрытого майнинга

При этом системы обнаружения, которые основаны исключительно на распознавании сигнатур, не будут эффективны, поскольку постоянно появляются новые виды программ для майнинга. Компания рекомендует при изучении сетей применять поведенческий анализ, который позволяет обнаружить незнакомые программы.

Как поясняет Руслан Юсуфов, директор по специальным проектам Group-IB, у мошенников, которые занимаются скрытым майнингом, чаще всего нет криминального опыта. Это не профессиональные преступники — инструменты для тайной добычи криптовалют, использование которых не требует продвинутых навыков, они покупают на черном рынке. Прибыльность предприятия зависит от того, как много устройств удалось заразить злоумышленнику, и какова суммарная вычислительная мощность этих устройств.

«В большинстве случаев такая активность не приносит сверхдоходов, поэтому интерес к нелегитимному майнингу по большей части скачкообразный. В то же время, угроза массовая: больше заразил – больше «намайнил». И если 2017 г. прошел под флагом вирусов-шифровальщиков, главный приз в 2018 г. может достаться криптомайнерам», — полагает Юсуфов.

Скрытый майнинг на вычислительных мощностях компании чреват для бизнеса целым рядом негативных последствий. В список входит рост затрат на электроэнергию, замедление работы систем, которое может обернуться их отказом, повышенный износ аппаратуры, репутационные потери, риск со стороны регуляторов и др.

Для обнаружения в сети всех вариантов вредоносного кода Group-IB рекомендует использовать базы угроз систем класса Threat Intelligence. Анализировать угрозу следует в изолированной среде. Защиту необходимо организовать не только внутри собственной сети — следует искать инструменты майнинга, предназначенные для запуска Java-скрипта на скомпрометированных ресурсах с целью заражения максимально широкого круга жертв. Также компаниям следует остерегаться собственных недобросовестных сотрудников, которые тоже могут использовать корпоративные мощности для майнинга.

Примеры майнинга за чужой счет

В июле гендиректор платежного сервиса Qiwi Сергей Солонин сообщил, что в 2011 г. сотрудник сервиса использовал терминалы самообслуживания компании для майнинга криптовалют, в результате чего ему за три месяца удалось добыть 500 тыс. биткоинов. Злоумышленник оказался техническим директором Qiwi. О том, как он использует терминалы, узнала служба безопасности, заметившая, что по ночам нагрузка на устройства возрастает.

В итоге компания пресекла деятельность сотрудника, но попыталась уже сама использовать собственные терминалы для майнинга. Однако, пока принималось решение и писалось необходимое ПО, майнинг биткоина усложнился и начал требовать больших вычислительных возможностей, которыми терминалы уже не располагали. Взыскать с удачливого майнера добытые биткоины, стоимость которых на момент признания Солонина превышала $4 млрд, также не удалось, а сам сотрудник уволился.

Отраслевые эксперты сочли эту историю сомнительной. Так, не выдерживает критики количество биткоинов, якобы добытых майнером. Учитывая награду за блок биткоинов в 50 BTC, какой она была в 2011 г., и среднюю частоту блока в 10 минут, за два с половиной месяца можно было намайнить 500 тыс. биткоинов, но лишь при условии владения всем хэшрейтом сети. Однако ботнет из 100 тыс. терминалов Qiwi мог обеспечить всего несколько процентов хэшрейта.