Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила троянскую программу, использовавшую часть хостов для скрытого майнинга в одном из сегментов сети группы компаний Simple одного из крупнейших импортеров и дистрибьюторов высококачественной алкогольной продукции на российском рынке. Программа для криптоджекинга была детектирована системой раннего обнаружения киберугроз Threat Detection System. Эксперты Group-IB констатируют, что несмотря на снижение количества инцидентов, связанных с этим видом мошенничества, эта угроза по-прежнему актуальна для российских коммерческих и государственных компаний.
Что произошло в Simple?
Группа компаний Simple, сотрудничает с Group-IB на протяжении трех лет. Некоторое время назад в Simple было принято решение расширить пакет приобретаемых услуг и продуктов за счет системы раннего предупреждения киберугроз Threat Detection System. Сразу после установки один из модулей продукта TDS Sensor зафиксировал подозрительную активность, квалифицированную как Coinminer: угроза исходила из части внутренних узлов клиента. Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами крупнейших российских и европейских производителей. Детектировать активность с помощью обычных антивирусных программ не удалось. «Вычислил» троян-майнер TDS Sensor — модуль сигнатурного анализа трафика и выявления сетевых аномалий, позволяющий выявлять различные типы атак с использованием ранее неизвестных программ по характерным признакам сетевых взаимодействий зараженных хостов. Анализируя трафик в защищаемом сегменте сети, TDS способен выявить факт компрометации узлов сети и заражение вредоносным ПО.В данном случае, это была программа-троян с функцией майнинга. Выяснилось, что часть хостов компании «майнили» криптовалюту. Дамп был проанализирован в Лаборатории компьютерной криминалистики Group-IB, Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Group-IB, ликвидировал угрозу.
Руководитель департамента инфраструктуры и поддержки Simple
Чем опасен майнинг
Любое устройство (компьютер, смартфон, IoT, сервер и тд.) может быть использовано для криптоджекинга: именно поэтому установки систем детектирования на уровне рабочих станций недостаточно. Новые виды программ для майнинга, которые обходят системы безопасности, основанные только на сигнатурном подходе, появляются постоянно. Симметричным ответом этой угрозе является анализ разных проявлений майнинга на сетевом уровне. Для этого необходимо использовать, в том числе, технологии поведенческого анализа для выявления ранее неизвестных программ и инструментов.
Директор департамента специальных проектов Group-IB
Эксперты Group-IB предупреждают о том, что майнинг это не только прямые финансовые потери вследствие повышенных затрат на электричество. Это также угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств. Заражение инфраструктуры трояном-майнером может привести к отказу корпоративных приложений, сетей и систем. Несанкционированная работа сторонних программ без ведома владельцев бизнеса чревата репутационными потерями, а также рисками со стороны комплаенса и регуляторов.
Для комплексного противодействия криптоджекингу важно выявлять все формы вредоносного кода, распространяющегося или уже работающего в сети, на основе регулярно обновляемой базы угроз систем класса Threat Intelligence. Анализ подозрительной активности всегда должен производиться в безопасной изолированной среде, при этом обеспечивая полную конфиденциальность данных о зараженных машинах, сегментах инфраструктуры и других ресурсах. Важно защищаться не только внутри своей сети, но и выявлять инструменты криптомайнинга, запускающие java-скрипт на взломанных ресурсах, целью которых является заражение как можно большего количества жертв. Есть и еще один популярный тип мошенничества: это классический инсайдер. Компании должны иметь возможность защищаться в том числе и от недобросовестных сотрудников, решивших умножить свой доход за счет ресурсов работодателя.