Чужая добыча. Как компьютеры начинают майнить на дядю и что с этим делать

Многие пользователи сталкивались с необъяснимым поведением собственных устройств, которые на ровном месте начинают сильно греться, жужжать вентилятором, тормозить и «жрать» оперативную память и интернет-трафик. Часто при этом грешат на саму технику, не связывая такое её поведение с увеличивающимися счетами за свет или с сайтами, которые посещаются чуть ли не ежедневно. Между тем большинство даже не догадывается, что стали жертвами криптоджекинга – скрытого майнинга, которым массово занимаются гаджеты и компьютеры по воле хакеров.

Чтобы начать добывать биткоины, достаточно зайти на веб-страницу со встроенным вредоносным скриптом или поймать на устройство трояна. Вот только монеты при таком сценарии заберёт кто-то другой. Как работает криптоджекинг и как прекратить «майнить на дядю» – «Секрет фирмы» узнал у экспертов.

Как распознать криптоджекинг?

Криптоджекинг – относительно новый вид киберпреступлений, начавший набирать обороты с ростом популярности криптовалют. В отличие от других угроз, таких как программы-вымогатели, он полностью скрыт от жертвы, за счёт которой злоумышленник надеется получить прибыль.

Криптоджекинг позволяет хакерам быстро и эффективно добывать криптовалюту без дополнительных расходов на оборудование для майнинга и электроэнергию. Вместо этого они используют персональные компьютеры и другие устройства пользователей, которые были недостаточно аккуратны в интернете.

«Криптоджекинг – это несанкционированный доступ к устройству пользователя для майнинга криптовалюты. Это может быть вредоносный файл, который доставляется на целевое устройство разными способами: через фишинговые рассылки, найденные уязвимости, заражённые флеш-накопители или вместе с инсталлятором взломанного программного обеспечения, например игр. Есть и второй тип – скрипты, внедрённые в рекламу на сайтах или сами сайты. Нередко программы для криптоджекинга имеют дополнительный функционал, который позволяет злоумышленникам украсть пароли или даже получить доступ к скомпрометированному устройству», – рассказал руководитель Лаборатории компьютерной криминалистики Group-IB Олег Скулкин.

«Большой риск установки вируса-майнера существует, когда пользователи скачивают файлы по прямым ссылкам с различных файловых обменников – с высокой долей вероятности это может оказаться вредоносный файл. Также существует высокий риск заражения устройств при скачивании с сайтов или торрент-площадок нелицензионных версий ПО. Также можно поймать вредонос в неофициальных магазинах приложений – злоумышленники могут замаскировать майнер под вполне безобидное приложение, например планнер или фитнес-трекер», – поясняет аналитик исследовательской группы Positive Technologies Федор Чунижеков.

Дмитрий Кондратьев из «Лаборатории Касперского» уточнил, что майнеры также могут отличаться по используемым ресурсам (CPU/GPU). Кроме того, бывают и нетривиальные пути попадания этих программ на устройства.

«Бывают случаи атак через взлом сервера или когда установку майнера на машины клиентов может осуществить компьютерный мастер», – указал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Кондратьев.

При этом не всегда майнинговые скрипты можно квалифицировать как однозначно преступные. Некоторые владельцы сайтов в попытке монетизировать свой трафик встраивают на свои ресурсы специальный код JavaScript и запрашивают у посетителей разрешение на использование их ресурсов для майнинга криптовалют во время просмотра веб-страниц. Они позиционируют это как альтернативу интернет-рекламе: пользователи получают бесплатный контент, а владельцам капают деньги в виде криптовалют. Когда гости покидают сайт, майнинг заканчивается.

Это достаточно прозрачная схема, но сложность для рядового пользователя состоит в том, чтобы отличить такой честный сайт от взломанного или потенциально мошеннического, который не ограничит использование мощностей устройства временем посещения. Часто при этом веб-страницы, ответственные за код, прячутся в «прозрачных» или малозаметных всплывающих окнах, которые могут разместиться за панелью задач или замаскироваться под расширение браузера.

«Некоторые владельцы сайтов делают уведомление, в котором просят пользователей о разрешении использования веб-майнера во время их сессии на сайте, вместо размещения рекламных баннеров. Однако не все бывают одинаково честными с посетителями сайтов. Вредоносный вариант веб-майнера продолжает свою работу, после того как пользователь покидает сайт, в виде скрытого всплывающего окна браузера. Определить, использует ли сайт встроенный майнер, можно, изучив код сайта на наличие скриптов, используемых майнерами, либо посмотреть сколько ресурсов потребляет та или иная вкладка в браузере», – аналитик исследовательской группы Positive Technologies Федор Чунижеков.

Жертвами такой схемы могут стать не только персональные компьютеры, но и смартфоны, и планшеты, и даже устройства умного дома. Конечно, их вычислительной мощности недостаточно, чтобы в одиночку добывать крупные суммы в криптовалюте. Но если злоумышленникам удаётся заразить тысячи устройств, совместными усилиями они легко могут еженедельно приносить по несколько тысяч долларов.

По словам исследователя Group-IB Владимира Тимофеева, на форумах киберпреступников вредоносный майнер в среднем предлагают приобрести за $200-300. Сумма окупается достаточно быстро.

Одним из самых популярных криптоджекеров долгое время оставался JavaScript для добычи криптовалюты Monero под названием CoinHive. Его использовали и с вполне легальными целями, но чаще код незаметно встраивали на веб-страницы с преступными целями. Например, в начале 2018 года этот майнер обнаружили в рекламе YouTube, запущенной на платформе DoubleClick от Google. А в июле и августе того же года заражёнными CoinHive оказались более 200 000 маршрутизаторов MikroTik в Бразилии с огромными объёмами веб-трафика.

CoinHive прекратил работу 8 марта 2019 года, однако угроза браузерного майнинга от этого меньше не стала. Например, в июле 2022 года стало известно, что криптоджекинговый код почти полтора года прятался на сайтах на популярном движке WordPress.

Случались и захваты с серьёзными последствиями. Когда атаке криптоджекинга подверглась европейская система управления водоснабжения, это сильно повлияло на способность операторов управлять критической инфраструктурой.

Чем опасен фоновый майнинг

Неважно, качает ли юзер программу-майнер вместе с другим ненадёжным файлом из подозрительного письма, цепляет ли вредоносный скрипт на веб-странице или ловит вирус-бэкдор, который делает его компьютер частью ботнета. Так или иначе, его оборудование начинает работать «на дядю» и добывать криптовалюты, которые затем отправляются на счета и серверы авторов вредоносного кода.

Результатом этого становятся возросшие счета за электричество и невидимый, но ускоренный износ оборудования, не предназначенного для постоянной работы на пределе вычислительных мощностей, отметил Дмитрий Кондратьев. Особенно от этого страдает бизнес, ведь вирус может легко заразить все компьютеры, объединённые общей сетью, а это и совсем другой порядок затрат на электроэнергию, и ресурсы IT-отдела (которому придётся искать и решать проблемы с производительностью устройств).

«Майнерами также заражают корпоративные серверы, где износ оборудования и снижение быстродействия оказывают ещё большее влияние и также приводят к финансовым убыткам для компаний», – отметил Кондратьев.

Некоторые скрипты для майнинга криптовалют способны не только распространяться по Сети и прятаться на множестве связанных устройств и серверов, но и конкурировать с другими программами за ресурсы. Если они обнаруживают, что компьютер или смартфон заражён другим криптомайнером, скрипт отключает его.

Не путай!

Иногда за криптоджекинг принимают другой вид кибермошенничества: воровство криптовалюты. По словам Владимира Тимофеева из Group-IB Threat Intelligence, предложений программного обеспечения для криптоджекинга на теневых форумах не так много по сравнению с более популярными у преступников стилерами. Это специализированные вредоносные программы, которые инфицируют компьютеры жертв и похищают браузерные cookie-файлы, логины и пароли. С помощью стилеров преступники не майнят, а крадут криптовалюту с чужих кошельков.

Как оценить ущерб и можно ли отстоять свои права

Несмотря на то что криптоджекинг – такое же киберпреступление, что и взлом систем, воровство данных и разработка вирусов, привлечь разработчиков этих скриптов к ответственности удаётся удручающе редко. Во-первых, потому что отследить крипту, которая добывается таким образом, сложное дело. Во-вторых, потому что адекватно оценить ущерб от скрытого майнинга попросту невозможно.

Случаев уголовного преследования за криптоджекинг по-прежнему очень мало, несмотря на то что Россия занимает одну из лидирующих позиций по обороту криптовалюты и преступлений с использованием криптовалют. Связано это в первую очередь с высоким уровнем латентности криптоджекинга. Типичные последствия криптоджекинга – повышение затрат на электроэнергию и замедление работы оборудования. Пользователь оборудования зачастую не связывает эти последствия с деятельностью хакеров и не осознает, что он стал жертвой криптоджекинга.

Также возникают сложности в получении компенсаций в суде, поскольку невозможно точно определить сумму причинённого ущерба. В денежном выражении очень сложно оценить последствия замедления работы оборудования, нарушения бизнес-процессов, репутационные последствия. Также затруднительно разграничить сумму дополнительных расходов на электроэнергию, вызванных незаконным майнингом.

Тем не менее, если авторов вредоносных скриптов удаётся вычислить и привлечь к ответственности, наказание им грозит вполне конкретное.

«Представляется, что действия злоумышленников должны квалифицироваться по ч. 2 ст. 273 УК РФ как создание, распространение или использование вредоносных компьютерных программ, совершённое из корыстной заинтересованности. Санкция предусматривает наказание в виде лишения свободы на срок до 5 лет», – рассказал Губайдуллин Рустам, адвокат, руководитель уголовно-правовой практики юридической фирмы «Ялилов и Партнеры», член Ассоциации юристов России.

«Юридически майнинг выражается в том, что собственник использует ресурсы своего компьютерного устройства с целью извлечь прибыль, при этом рискуя целостностью и исправностью ресурсов. Вирусы помогают мошенникам дистанционно получить возможность незаконного права пользования ресурсами устройства.

В законодательстве отсутствует должное регулирование, однако Минфин, ЦБ и некоторые госкорпорации подготавливают и уже предлагают законопроекты в этой сфере. Подобное можно квалифицировать по ст. 159.6 «Мошенничество в сфере компьютерной информации», по которой грозит штраф, либо обязательные работы, либо принудительные работы сроком до 2 лет, либо арест сроком до 4 месяцев», – отмечает член Ассоциации юристов России Мария Спиридонова.

Но пока применимость этих правовых механизмов остаётся скорее исключением, чем правилом. Даже когда в 2018 году удалось выйти на преступника, который заставил майнить биткоины серверы различных госучреждений целого ряда российских регионов, он отделался 2 годами условного срока, а ущерб по делу так и не смогли определить.

Как защититься от абордажа устройств?

Заподозрить неладное пользователь может по нетипичному поведению его устройств.

«Если ваше устройство стало менее отзывчивым на команды, шумит, перегревается, потребляет больше энергии и быстрее разряжается, приложения работают не так быстро, а объёмы оперативной и долговременной памяти сокращаются по неизвестной вам причине – однозначно стоит проверить устройство на наличие вируса-майнера специальными программами», – рассказывает аналитик исследовательской группы Positive Technologies Федор Чунижеков.

Отследить, какая программа или процесс «ест» оперативную память, можно с помощью диспетчера задач. Однако для большинства пользователей бывает сложно на глаз определить, какой объём сетевого трафика и памяти ещё вписывается в норму, а какой должен вызвать сомнения.

«Красными флагами могут стать графики использования ресурсов процессора и видеокарты: если их показатели достигают отметки в 60–100% в состоянии простоя, то стоит насторожиться. Также вирусы-майнеры создают дополнительные процессы в системе и записывают себя в папку автозапуска – это также следует проверить», – поясняет Чунижеков.

«Антивирусы, средства защиты не всегда могут оградить от криптоджекинга – всё зависит от сложности вредоносного программного обеспечения. Иногда его функционал позволяет отключать средства защиты и распространяться по Сети», – подчеркнул руководитель Лаборатории компьютерной криминалистики Group-IB Олег Скулкин

Большинство антивирусов уже достаточно эффективно научились отслеживать и сбивать вирусы-майнеры на подлёте, однако масштабы проблемы от этого не уменьшаются. По данным Sonic Wall, в первой половине 2022 года было зафиксировано около 70 миллионов таких атак, рост составил порядка 35% к аналогичному периоду прошлого года. Всплеск активности вирусов-майнеров обычно сопровождает рост рынка криптовалют, но даже существенное падение цены активов не заставляет хакеров отказываться от лёгкого заработка: криптоджекинг позволяет добывать деньги почти из воздуха, не вкладывая в майнинг собственных средств.

Помимо надёжного антивируса с постоянно обновляемыми базами, имеет смысл поставить расширение браузера, предназначенное для блокировки криптоджекинга. Это позволит избежать сценария веб-майнинга, который не всегда распознаётся обычными средствами киберзащиты.

Помочь может даже обычный блокировщик рекламы, поскольку вредоносные скрипты часто доставляются именно через онлайн-рекламу. Наконец, можно отключить автоматическую загрузку JavaScript, но этот способ может также помешать использовать и полезные функции сайтов.

Ранее мы рассказывали о криптовалютной лихорадке: как в Иркутске делают деньги из воздуха.