Форумы дарквеба наводнили предложения дешевого софта для майнинга

Group-IB фиксирует новые вспышки угрозы нелегитимного майнинга (криптоджекинга) в сетях коммерческих и государственных организаций. По данным системы Group-IB Threat Intelligence, за год количество объявлений на теневых форумах, в которых предлагаются программы для майнинга на продажу или в аренду, увеличилось в 5 раз (H1 2018 против H1 2017).

Опасной тенденцией эксперты Group-IB называют широкую доступность троянов-майнеров, предназначенных для использования чужих устройств и инфраструктуры в целях нелегитимной генерации различных типов криптовалюты.

Криптоджекинг (использование вычислительной мощности компьютера или инфраструктуры для майнинга криптовалюты без согласия или ведома владельца) по-прежнему остается сравнительно популярным методом обогащения, несмотря на плавную тенденцию к уменьшению числа инцидентов, связанных с этим видом мошенничества. За первое полугодие 2018 года система Threat Intelligence (Киберразведка) Group-IB зафиксировала 477 объявлений на хакерских форумах о продаже или аренде программ для майнинга, в то время как за аналогичный период 2017 года их количество было в пять раз меньше - 99.

Потенциальными точками роста для подобных хищений могут стать не только рост предложений по приобретению программ-майнеров на форумах Darknet, но и сравнительно низкая цена на них — минимальная цена на программы для скрытого майнинга составила 0,5$, в среднем стоимость — $10.

«Низкий «порог входа» на рынок «черного заработка» на нелегальном майнинге приводит к тому, что добычей криптовалюты занимаются люди без технических знаний и какого-либо опыта участия в мошеннических схемах, — комментирует Рустам Миркасымов, эксперт по киберразведке компании Group-IB. — Получив доступ к простым инструментам для скрытого майнинга криптовалют, они не считают это преступлением, тем более что российское законодательное поле пока еще оставляет достаточно количество лазеек для того, чтобы избежать преследования за подобные хищения. Случаев ареста и практики судебного преследования за криптоджекинг по-прежнему единицы, не смотря на то, что большинство методов установки программы-майнера предполагают нарушение законов 272 и 273 УК РФ».

Любое устройство (компьютер, смартфон, IoT, сервер и тд.) может быть использовано для криптоджекинга: именно поэтому установки систем детектирования на уровне рабочих станций недостаточно. Новые виды программ для майнинга, которые легко обходят системы безопасности, основанные только на сигнатурном подходе, появляются постоянно. Симметричным ответом этой угрозе стало детектирование разных проявлений майнинга на сетевом уровне. Для этого необходимо использовать, в том числе, технологии поведенческого анализа для выявления ранее неизвестных программ и инструментов.

Эксперты Group-IB предупреждают о том, что майнинг несет не только прямые финансовые потери вследствие повышенных затрат на электричество. Это также угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств.  Заражение инфраструктуры трояном-майнером может привести к отказу корпоративных приложений, сетей и систем. Несанкционированная работа сторонних программ без ведома владельцев бизнеса чревата репутационными потерями, а также рисками со стороны комплаенса и регуляторов.

Для комплексного противодействия криптоджекингу важно выявлять все формы вредоносного кода, распространяющегося или уже работающего в сети, на основе регулярно обновляемой базы угроз систем класса Threat Intelligence. Анализ подозрительной активности всегда должен производиться в безопасной изолированной среде, при этом обеспечивая полную конфиденциальность данных о зараженных машинах, сегментах инфраструктуры и других ресурсах.

Важно защищаться не только внутри своей сети, но и выявлять инструменты криптомайнинга, запускающие java-скрипт на взломанных ресурсах, целью которых является заражение как можно большего количества жертв. Есть и еще один, в последнее время набирающий популярность тип мошенничества: это классический инсайдер. Компании должны иметь возможность защищаться в том числе и от собственных недобросовестных сотрудников, решивших умножить свой доход за счет ресурсов работодателя.