Во втором квартале этого года эксперты F6 зафиксировали волну атак на российские финансовые, логистические и телеком-компании со стороны хакеров из Kinsing. Эта киберпреступная группировка известна с 2019 года, но Россию атаковала впервые только в 2024-м.
Паттерн удалось очертить благодаря обращению клиента компании F6 — он заметил попытку проникновения на свои внешние серверы и со списком IP-адресов, участвовавших в атаке, обратился в департамент Threat Intelligence за атрибуцией. В результате проверки индикаторов компрометации (IoCs), анализа сетевого трафика, корреляции с внешними источниками TI и сопоставления выявляемых тактик, техник и процедур (TTPs) злоумышленников безопасники и выявили почерк Kinsing (также известной как H2Miner и Resourceful Wolf).
Хак-группа специализируется на криптоджекинге — незаконном использовании вычислительных ресурсов заражённых систем для майнинга (преимущественно Monero), а также на создании и расширении ботнетов, но при этом сторонится фишинга. Её члены сканируют инфраструктуру жертвы с целью найти уязвимости в ПО, используемые потом для выполнения вредоносного кода в системе. В случае успеха на целевое устройство загружается вредоносный скрипт, который ищет майнеры конкурентов, при обнаружении удаляет их и устанавливает свой.
Целями вторжений Kinsing являются серверные Linux-системы. Побочные эффекты такого «теневого» майнинга включают замедление работы и снижение производительности плюс ускоренный износ оборудования.
«Кейс с атаками Kinsing на российские компании наглядно демонстрирует необходимость построения защиты даже от самых редких и экзотических киберугроз. Киберпреступные группировки не ограничиваются определёнными отраслями или регионами. В любой момент они могут повернуть своё оружие против пользователей в любой точке мира», — подчеркнул Владислав Куган, аналитик отдела исследования кибератак департамента Threat Intelligence компании F6.
