Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила троянскую программу, использовавшую часть хостов для скрытого майнинга в одном из сегментов сети группы компаний Simple – одного из крупнейших импортеров и дистрибьюторов высококачественной алкогольной продукции на российском рынке. Программа для криптоджекинга была детектирована системой раннего обнаружения киберугроз Threat Detection System. Эксперты Group-IBконстатируют, что несмотря на снижение количества инцидентов, связанных с этим видом мошенничества, эта угроза по-прежнему актуальна для российских коммерческих и государственных компаний.
НеВинная история Simple
Группа компаний Simple, сотрудничает с Group-IB на протяжении трех лет. Некоторое время назад в Simple было принято решение расширить пакет приобретаемых услуг и продуктов за счет системы раннего предупреждения киберугроз Threat Detection System. Сразу после установки один из модулей продукта – TDS Sensor – зафиксировал подозрительную активность, квалифицированную как Coinminer: угроза исходила из части внутренних узлов клиента. Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами крупнейших российских и европейских производителей. Детектировать активность с помощью обычных антивирусных программ не удалось. «Вычислил» троян-майнер TDS Polygon– «песочница», позволяющая выявлять различные типы атак с использованием ранее неизвестных программ. Анализируя вредоносное ПО в безопасной среде, изолированной от основной ИТ-инфраструктуры компании, TDS способен оценить степень «токсичности» той или иной активности в сети. В данном случае, это была программа-троян с функцией майнинга. Выяснилось, что часть хостов компании «майнили» криптовалюту. Дамп был проанализирован в Лаборатории компьютерной криминалистики Group—IB, Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Group-IB, ликвидировал угрозу.
«Как один из крупнейших экспортеров вин и других напитков, группа компаний Simple внимательно относится к вопросам обеспечения информационной безопасности, поскольку для нас недопустимы риски, потенциально способные повлиять на стабильность работы ИТ-инфраструктуры компании и ее бизнес-процессов, – комментирует Владимир Бондарев, руководитель департамента инфраструктуры и поддержки Simple».
Чем опасен майнинг
Любое устройство (компьютер, смартфон, IoT, сервер и тд.) может быть использовано для криптоджекинга: именно поэтому установки систем детектирования на уровне рабочих станций недостаточно. Новые виды программ для майнинга, которые обходят системы безопасности, основанные только на сигнатурном подходе, появляются постоянно. Симметричным ответом этой угрозе является анализ разных проявлений майнинга на сетевом уровне. Для этого необходимо использовать, в том числе, технологии поведенческого анализа для выявления ранее неизвестных программ и инструментов.
«Мошенники-криптоджекеры, промышляющие использованием чужой вычислительной мощности для майнинга криптовалюты без согласия или ведома владельца, зачастую не имеют криминального опыта и не являются профессиональными преступниками. Готовые инструменты для скрытого майнинга, не требующие для работы специальных технических навыков, свободно продаются на черном рынке. Такие «майнинг-киты» активно используют непрофессиональные хакеры в качестве готовых и недорогих средств для быстрого обогащения. Доходы от майнинга напрямую зависят от количества зараженных машин в ботнете и их совокупной вычислительной мощности. В большинстве случаев такая активность не приносит сверхдоходов, поэтому интерес к нелигитимному майнингу по большей части скачкообразный. В то же время, угроза массовая: больше заразил – больше «намайнил». И если 2017 год прошел под флагом вирусов-шифровальщиков, главный приз в 2018 году может достаться криптомайнерам. Пример Simple показателен: это «скрытая» угроза, обнаружить которую можно только с помощью специальных средств для раннего предупреждения киберугроз. Как видно из этого примера, антивирусы могут оказаться бессильными против троянов с функцией майнинга», — комментирует Руслан Юсуфов, директор по специальным проектам Group-IB.
Эксперты Group-IB предупреждают о том, что майнинг это не только прямые финансовые потери вследствие повышенных затрат на электричество. Это также угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств. Заражение инфраструктуры трояном-майнером может привести к отказу корпоративных приложений, сетей и систем. Несанкционированная работа сторонних программ без ведома владельцев бизнеса чревата репутационными потерями, а также рисками со стороны комплаенса и регуляторов.
Для комплексного противодействия криптоджекингу важно выявлять все формы вредоносного кода, распространяющегося или уже работающего в сети, на основе регулярно обновляемой базы угроз систем класса Threat Intelligence. Анализ подозрительной активности всегда должен производиться в безопасной изолированной среде, при этом обеспечивая полную конфиденциальность данных о зараженных машинах, сегментах инфраструктуры и других ресурсах. Важно защищаться не только внутри своей сети, но и выявлять инструменты криптомайнинга, запускающие java-скрипт на взломанных ресурсах, целью которых является заражение как можно большего количества жертв. Есть и еще один популярный тип мошенничества: это классический инсайдер. Компании должны иметь возможность защищаться в том числе и от недобросовестных сотрудников, решивших умножить свой доход за счет ресурсов работодателя.
http://www.group-ib.ru
