Simple предотвратила угрозу распространения трояна‑майнера с помощью Group‑IB TDS | F.A.C.C.T.

Simple предотвратила угрозу распространения трояна‑майнера с помощью Group‑IB TDS

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила троянскую программу, использовавшую часть хостов для скрытого майнинга в одном из сегментов сети группы компаний Simple одного из крупнейших импортеров и дистрибьюторов высококачественной алкогольной продукции на российском рынке. Программа для криптоджекинга была детектирована системой раннего обнаружения киберугроз Threat Detection System. Эксперты Group-IB констатируют, что несмотря на снижение количества инцидентов, связанных с этим видом мошенничества, эта угроза по-прежнему актуальна для российских коммерческих и государственных компаний.

Что произошло в Simple?

Группа компаний Simple, сотрудничает с Group-IB на протяжении трех лет. Некоторое время назад в Simple было принято решение расширить пакет приобретаемых услуг и продуктов за счет системы раннего предупреждения киберугроз Threat Detection System. Сразу после установки один из модулей продукта TDS Sensor зафиксировал подозрительную активность, квалифицированную как Coinminer: угроза исходила из части внутренних узлов клиента. Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами крупнейших российских и европейских производителей. Детектировать активность с помощью обычных антивирусных программ не удалось. «Вычислил» троян-майнер TDS Sensor — модуль сигнатурного анализа трафика и выявления сетевых аномалий, позволяющий выявлять различные типы атак с использованием ранее неизвестных программ по характерным признакам сетевых взаимодействий зараженных хостов. Анализируя трафик в защищаемом сегменте сети, TDS способен выявить факт компрометации узлов сети и заражение вредоносным ПО.В данном случае, это была программа-троян с функцией майнинга. Выяснилось, что часть хостов компании «майнили» криптовалюту. Дамп был проанализирован в Лаборатории компьютерной криминалистики Group-IB, Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Group-IB, ликвидировал угрозу.

Как один из крупнейших экспортеров вин и других напитков, группа компаний Simple внимательно относится к вопросам обеспечения информационной безопасности, поскольку для нас недопустимы риски, потенциально способные повлиять на стабильность работы ИТ-инфраструктуры компании и ее бизнес-процессов.

Владимир Бондарев
Владимир Бондарев

Руководитель департамента инфраструктуры и поддержки Simple

Чем опасен майнинг

Любое устройство (компьютер, смартфон, IoT, сервер и тд.) может быть использовано для криптоджекинга: именно поэтому установки систем детектирования на уровне рабочих станций недостаточно. Новые виды программ для майнинга, которые обходят системы безопасности, основанные только на сигнатурном подходе, появляются постоянно. Симметричным ответом этой угрозе является анализ разных проявлений майнинга на сетевом уровне. Для этого необходимо использовать, в том числе, технологии поведенческого анализа для выявления ранее неизвестных программ и инструментов.

Мошенники-криптоджекеры, промышляющие использованием чужой вычислительной мощности для майнинга криптовалюты без согласия или ведома владельца, зачастую не имеют криминального опыта и не являются профессиональными преступниками. Готовые инструменты для скрытого майнинга, не требующие для работы специальных технических навыков, свободно продаются на черном рынке. Такие „майнинг-киты“ активно используют непрофессиональные хакеры в качестве готовых и недорогих средств для быстрого обогащения. Доходы от майнинга напрямую зависят от количества зараженных машин в ботнете и их совокупной вычислительной мощности. В большинстве случаев такая активность не приносит сверхдоходов, поэтому интерес к нелигитимному майнингу по большей части скачкообразный. В то же время, угроза массовая: больше заразил больше „намайнил“. И если 2017 год прошел под флагом вирусов-шифровальщиков, главный приз в 2018 году может достаться криптомайнерам. Пример Simple показателен: это „скрытая“ угроза, обнаружить которую можно только с помощью специальных средств для раннего предупреждения киберугроз. Как видно из этого примера, антивирусы могут оказаться бессильными против троянов с функцией майнинга.

Руслан Юсуфов
Руслан Юсуфов

Директор департамента специальных проектов Group-IB

Эксперты Group-IB предупреждают о том, что майнинг это не только прямые финансовые потери вследствие повышенных затрат на электричество. Это также угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств. Заражение инфраструктуры трояном-майнером может привести к отказу корпоративных приложений, сетей и систем. Несанкционированная работа сторонних программ без ведома владельцев бизнеса чревата репутационными потерями, а также рисками со стороны комплаенса и регуляторов.

Для комплексного противодействия криптоджекингу важно выявлять все формы вредоносного кода, распространяющегося или уже работающего в сети, на основе регулярно обновляемой базы угроз систем класса Threat Intelligence. Анализ подозрительной активности всегда должен производиться в безопасной изолированной среде, при этом обеспечивая полную конфиденциальность данных о зараженных машинах, сегментах инфраструктуры и других ресурсах. Важно защищаться не только внутри своей сети, но и выявлять инструменты криптомайнинга, запускающие java-скрипт на взломанных ресурсах, целью которых является заражение как можно большего количества жертв. Есть и еще один популярный тип мошенничества: это классический инсайдер. Компании должны иметь возможность защищаться в том числе и от недобросовестных сотрудников, решивших умножить свой доход за счет ресурсов работодателя.

О компании

F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в Реестр Отечественного ПО.