31 августа 2018

Simple предотвратила угрозу распространения трояна‑майнера с помощью Group‑IB TDS

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила троянскую программу, использовавшую часть хостов для скрытого майнинга в одном из сегментов сети группы компаний Simple — одного из крупнейших импортеров и дистрибьюторов высококачественной алкогольной продукции на российском рынке. Программа для криптоджекинга была детектирована системой раннего обнаружения киберугроз Threat Detection System. Эксперты Group-IB констатируют, что несмотря на снижение количества инцидентов, связанных с этим видом мошенничества, эта угроза по-прежнему актуальна для российских коммерческих и государственных компаний.

Что произошло в Simple?

Группа компаний Simple, сотрудничает с Group-IB на протяжении трех лет. Некоторое время назад в Simple было принято решение расширить пакет приобретаемых услуг и продуктов за счет системы раннего предупреждения киберугроз Threat Detection System. Сразу после установки один из модулей продукта — TDS Sensor — зафиксировал подозрительную активность, квалифицированную как Coinminer: угроза исходила из части внутренних узлов клиента. Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами крупнейших российских и европейских производителей. Детектировать активность с помощью обычных антивирусных программ не удалось. «Вычислил» троян-майнер TDS Sensor — модуль сигнатурного анализа трафика и выявления сетевых аномалий, позволяющий выявлять различные типы атак с использованием ранее неизвестных программ по характерным признакам сетевых взаимодействий зараженных хостов. Анализируя трафик в защищаемом сегменте сети, TDS способен выявить факт компрометации узлов сети и заражение вредоносным ПО.В данном случае, это была программа-троян с функцией майнинга. Выяснилось, что часть хостов компании «майнили» криптовалюту. Дамп был проанализирован в Лаборатории компьютерной криминалистики Group-IB, Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Group-IB, ликвидировал угрозу.

Как один из крупнейших экспортеров вин и других напитков, группа компаний Simple внимательно относится к вопросам обеспечения информационной безопасности, поскольку для нас недопустимы риски, потенциально способные повлиять на стабильность работы ИТ-инфраструктуры компании и ее бизнес-процессов.

Владимир Бондарев

Владимир Бондарев

Руководитель департамента инфраструктуры и поддержки Simple

Чем опасен майнинг

Любое устройство (компьютер, смартфон, IoT, сервер и тд.) может быть использовано для криптоджекинга: именно поэтому установки систем детектирования на уровне рабочих станций недостаточно. Новые виды программ для майнинга, которые обходят системы безопасности, основанные только на сигнатурном подходе, появляются постоянно. Симметричным ответом этой угрозе является анализ разных проявлений майнинга на сетевом уровне. Для этого необходимо использовать, в том числе, технологии поведенческого анализа для выявления ранее неизвестных программ и инструментов.

Мошенники-криптоджекеры, промышляющие использованием чужой вычислительной мощности для майнинга криптовалюты без согласия или ведома владельца, зачастую не имеют криминального опыта и не являются профессиональными преступниками. Готовые инструменты для скрытого майнинга, не требующие для работы специальных технических навыков, свободно продаются на черном рынке. Такие „майнинг-киты“ активно используют непрофессиональные хакеры в качестве готовых и недорогих средств для быстрого обогащения. Доходы от майнинга напрямую зависят от количества зараженных машин в ботнете и их совокупной вычислительной мощности. В большинстве случаев такая активность не приносит сверхдоходов, поэтому интерес к нелигитимному майнингу по большей части скачкообразный. В то же время, угроза массовая: больше заразил — больше „намайнил“. И если 2017 год прошел под флагом вирусов-шифровальщиков, главный приз в 2018 году может достаться криптомайнерам. Пример Simple показателен: это „скрытая“ угроза, обнаружить которую можно только с помощью специальных средств для раннего предупреждения киберугроз. Как видно из этого примера, антивирусы могут оказаться бессильными против троянов с функцией майнинга.

Руслан Юсуфов

Руслан Юсуфов

Директор департамента специальных проектов Group-IB

Эксперты Group-IB предупреждают о том, что майнинг это не только прямые финансовые потери вследствие повышенных затрат на электричество. Это также угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств. Заражение инфраструктуры трояном-майнером может привести к отказу корпоративных приложений, сетей и систем. Несанкционированная работа сторонних программ без ведома владельцев бизнеса чревата репутационными потерями, а также рисками со стороны комплаенса и регуляторов.

Для комплексного противодействия криптоджекингу важно выявлять все формы вредоносного кода, распространяющегося или уже работающего в сети, на основе регулярно обновляемой базы угроз систем класса Threat Intelligence. Анализ подозрительной активности всегда должен производиться в безопасной изолированной среде, при этом обеспечивая полную конфиденциальность данных о зараженных машинах, сегментах инфраструктуры и других ресурсах. Важно защищаться не только внутри своей сети, но и выявлять инструменты криптомайнинга, запускающие java-скрипт на взломанных ресурсах, целью которых является заражение как можно большего количества жертв. Есть и еще один популярный тип мошенничества: это классический инсайдер. Компании должны иметь возможность защищаться в том числе и от недобросовестных сотрудников, решивших умножить свой доход за счет ресурсов работодателя.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте