«Большинство думает, что майнинг криптовалюты, это громоздкие фермы, шум и огромные счета за электричество. Но есть механизм, который работает тихо, потребляет ресурсы вашего корпоративного ноутбука и остаётся незаметным даже для непродвинутых проверок. Он маскируется под легитимные процессы и обходит классические сигнатуры антивирусов. Понимание этого механизма — первый шаг к тому, чтобы он перестал финансировать угрозы против вашей же организации.»
Когда процессор работает на чужого заказчика
Криптоджекинг, это скрытое использование вычислительных мощностей устройства для майнинга криптовалюты в пользу злоумышленника. В отличие от массовых атак вроде WannaCry, которые сразу проявляют себя, криптоджекинг предпочитает оставаться в тени. Его цель — не сломать систему, а заставить её работать на злоумышленника как можно дольше.
На корпоративных ноутбуках атака наиболее опасна. Устройство почти всегда включено, имеет стабильное интернет-подключение и зачастую обладает производительной видеокартой (GPU), которая эффективнее CPU в определённых алгоритмах майнинга. Хакер получает доход, а компания несёт убытки: растут счета за электричество (особенно актуально для ноутбуков, постоянно работающих от сети), деградирует производительность рабочих станций, ускоряется износ аппаратного обеспечения.
Ключевая особенность атаки — её тишина. Нет сообщений о выкупе, файлы не шифруются. Просто фоновая задача съедает 70-90% ресурсов процессора или видеокарты. Пользователь замечает, что ноутбук стал медленнее, сильнее греется, а вентилятор работает на высоких оборотах даже в простое. Часто это списывают на «тяжёлое» корпоративное ПО или обновление системы.
Под прикрытием браузера и доверенных процессов
Существует два основных вектора внедрения скрытого майнера: через браузер и через заражённое ПО на уровне операционной системы.
Браузерный майнинг (стейлкерский майнинг)
Работает по принципу «зашёл на сайт — начал майнить». Для этого на взломанный или специально созданный сайт внедряется JavaScript-код, например, из библиотеки CoinHive (или её современных аналогов). Как только страница открывается в браузере, скрипт запускает вычисления, используя ресурсы процессора посетителя.
Атака ограничена временем работы вкладки и не может использовать видеокарту в полную силу, но её простота и массовость компенсируют этот недостаток. Особенно опасны в этом контексте корпоративные порталы или внутренние Wiki-системы, доступ к которым есть у всех сотрудников. Если такой ресурс оказывается скомпрометирован, майнить будет каждый, кто откроет его в течение рабочего дня.
- Нет установки. Ничего не качается и не запускается. Антивирус, ищущий вредоносные файлы, бессилен.
- Самоликвидация. Закрыл вкладку — майнинг прекратился. Следов в системе не остаётся.
- Легитимный трафик. Всё общение идёт через стандартные веб-сокеты к пулу майнинга, что выглядит как обычная сетевая активность браузера.
Системный майнинг (трояны-майнеры)
Это уже полноценное вредоносное ПО, которое устанавливается в систему. Оно значительно опаснее браузерного. Такой майнер может:
- Запускаться как служба Windows или демон в Linux, обеспечивая автозагрузку.
- Использовать ресурсы видеокарты (GPU), что в разы эффективнее для майнинга многих актуальных криптовалют.
- Обнаруживать и пытаться завершать процессы диспетчера задач или мониторинга (например, Process Explorer, Task Manager), чтобы скрыть свою активность.
- Инфицировать другие машины в локальной сети, используя уязвимости (подобно червю).
Проникает он классическими путями: в составе крякнутых программ, фишинговых вложений в письмах, через уязвимости в ПО без актуальных обновлений. Часто майнер идёт «в нагрузку» к другому вредоносу, образуя целый пакет угроз.
Почему сигнатурный антивирус молчит
Традиционные антивирусы построены на поиске сигнатур — уникальных последовательностей кода известных угроз. Современные майнеры используют обфускацию (запутывание кода), полиморфизм (изменение своей сигнатуры при каждом новом заражении) и легитимные компоненты.
Сам майнинг, по сути,, это процесс решения математических задач. Код, выполняющий вычисления по алгоритму SHA-256 или RandomX, технически ничем не отличается от легитимного бенчмарка или вычислительного модуля научного ПО. Антивирусу сложно определить, решает ли процесс расчёт для рендеринга видео или для блока в блокчейне Monero.
Более того, злоумышленники часто используют «живой» майнинговый софт с открытым исходным кодом (например, XMRig), слегка модифицируя его для скрытности. Для антивируса такой бинарный файл на 99% совпадает с легитимным инструментом, что затрудняет его однозначное определение как угрозы.
Защита по критериям ФСТЭК и 152-ФЗ: больше чем поиск вирусов
Подходы регуляторики в России смещают фокус с точечной защиты на управление ИБ как процессом. Криптоджекинг — яркий пример инцидента, который не нарушает напрямую конфиденциальность данных (целостность и доступность — да), но делает систему уязвимой и использует её ресурсы. Борьба с ним вписывается в общие требования.
| Требование / Мероприятие | Как помогает против скрытого майнинга |
|---|---|
| Разграничение прав доступа (Приказ ФСТЭК №17, 152-ФЗ) | Запрет на запуск исполняемых файлов и установку ПО с прав обычного пользователя блокирует установку системного майнера. Работа от имени администратора без необходимости становится ключевым риском. |
| Актуализация ПО, управление обновлениями | Закрывает уязвимости в браузерах, Java, Flash и другом ПО, через которые может произойти drive-by загрузка или внедрение скрипта. |
| Мониторинг и реагирование на инциденты (СОВ, SIEM) | Аномальная сетевая активность (постоянные соединения с известными пулами майнинга) или стабильно высокая загрузка ЦП/ГП в нерабочее время должны触发 alerts для службы ИБ. |
| Воспитание культуры ИБ | Обучение сотрудников не переходить по сомнительным ссылкам, не устанавливать непроверенное ПО и обращать внимание на аномалии в работе устройства снижает вероятность первичного заражения. |
| Применение средств защиты, функционирующих на уровнях сетевого и системного ПО (требования ФСТЭК) | Использование межсетевых экранов (NGFW), способных блокировать трафик на основе репутации IP-адресов и категорий (пулы майнинга, криптовалютные сервисы), и EDR-систем для анализа поведения процессов на конечных точках. |
Технические индикаторы и ответные действия
Поиск угрозы должен быть активным. Вот на что стоит обратить внимание в корпоративной сети:
- Аномальное потребление ресурсов: Постоянная загрузка CPU/GPU на 70% и выше одним процессом, особенно с неочевидным именем (например, «svchosts.exe», «javaupd.exe») или расположенным в нетипичных каталогах (Temp, AppData).
- Сетевые соединения: Установленные соединения на нестандартные порты (часто 3333, 4444, 5555, 8080) с IP-адресами, чья репутация связана с майнинг-пулами. Активность при простое системы.
- Поведенческие аномалии: Процесс, который завершает или препятствует запуску диспетчеров задач, редакторов реестра или утилит мониторинга.
- Несанкционированное ПО: Наличие в системе файлов, связанных с известными майнерами (xmrig.exe, cpuminer-multi и т.п.), или подозрительных скриптовых файлов (.vbs, .ps1, .js) в автозагрузке.
При обнаружении индикаторов стандартное решение «просканировать антивирусом» часто не работает. Потребуется:
- Изолировать заражённую машину от сети для прекращения майнинга и предотвращения распространения.
- Не просто удалить подозрительный процесс, а провести полноценное расследование с помощью EDR-решений или специализированных утилит для поиска руткитов и постоянных механизмов.
- Проанализировать точку входа (как произошло заражение) и применить корректирующие меры ко всей инфраструктуре.
Итог: скрытый расход становится явной угрозой
Скрытый майнинг, это не просто «воровство циклов». Для компании это прямое уменьшение срока службы дорогостоящего оборудования, незапланированные эксплуатационные расходы и снижение продуктивности сотрудников. С точки зрения регуляторики, это признак недостаточного контроля за конечными точками и сетевым периметром, что может быть рассмотрено как несоблюдение требований по обеспечению доступности и целостности информационных систем.
Защита строится не на одном инструменте, а на многослойной стратегии: от строгой политики прав доступа и своевременных обновлений до продвинутого мониторинга сетевой активности и поведения процессов. Тихий вентилятор ноутбука после окончания рабочего дня — в современной реальности может быть таким же важным индикатором безопасности, как и исправно работающий антивирус.