Во втором квартале 2025 года специалисты компании F6 зафиксировали серию атак группировки Kinsing на российские компании из финансового, логистического и телеком-секторов. Целью злоумышленников было заражение серверов вредоносной программой для майнинга криптовалют. Ранее Kinsing действовала за пределами России, но в этом году впервые провела масштабную кампанию против российских организаций.
Атаки удалось связать с Kinsing после расследования весной 2025 года. Один из клиентов F6 обнаружил попытку взлома своих внешних серверов и передал компании список IP-адресов, с которых велась атака.
Анализ индикаторов компрометации, сетевого трафика и тактик злоумышленников показал, что за инцидентом стоит именно эта группировка.
Kinsing (также известная как H2Miner и Resourceful Wolf) специализируется на криптоджекинге — незаконном использовании вычислительных ресурсов заражённых систем для майнинга, в основном Monero (XMR). Группировка также создает и расширяет ботнеты.
Вместо фишинга Kinsing ищет уязвимости в софте компаний, а затем использует их для запуска вредоносного кода. После заражения скрипт удаляет майнеры конкурентов и устанавливает свой. Основная цель атак — серверные Linux-системы. Последствия — замедление работы, падение производительности и ускоренный износ оборудования.
Ранее большинство атак Kinsing фиксировали в Северной Америке, Западной Европе и Азии. В 2024 году российские исследователи сообщали об одной атаке, но без уточнения целей и региона. Масштабная кампания против российских компаний началась только в 2025 году.
«Кейс с атаками Kinsing на российские компании наглядно демонстрирует необходимость построения защиты даже от самых редких и экзотических киберугроз. Киберпреступные группировки не ограничиваются определёнными отраслями или регионами. В любой момент они могут повернуть своё оружие против пользователей в любой точке мира», – подчёркивает Владислав Куган, аналитик отдела исследования кибератак департамента Threat Intelligence компании F6.
