Начиная с 31 декабря наша телеметрия начала фиксировать масштабную активность криптомайнера XMRig. Причем в большинстве случаев запуск зловреда детектировался домашними решениями, но в некоторых — корпоративными. Тщательное исследование проблемы показало, что некие злоумышленники распространяли зловред в торрентах с играми. Целью атаки, скорее всего, были именно геймеры из разных стран, включая Россию, Бразилию и Германию, однако, вероятно в силу того что некоторые сотрудники компаний используют рабочие компьютеры в личных целях, криптомайнер был обнаружен и в корпоративных сетях.
Вредоносная кампания
Кампания, ласково названная нашими аналитиками StaryDobry, была тщательно спланирована: вредоносные дистрибутивы создавались и загружались на торренты начиная с сентября по декабрь 2024 года. Разумеется, игры на торрентах были представлены в виде репаков — то есть модифицированных версий программ, в которые авторы раздачи уже встроили средства обхода проверки подлинности копии игры (иными словами, игры были взломаны).
Пользователи успешно загружали и устанавливали их. До поры до времени троянизированные игры никак не проявляли себя, но 31 декабря они получили команду с удаленного сервера злоумышленников, начали скачивать майнер и запускать его на зараженном устройстве. Троянизированы были версии популярных компьютерных игр-симуляторов Garry’s Mod, BeamNG.drive, Universe Sandbox и некоторых других.
Мы внимательно исследовали образец зловреда и вот что обнаружили.
Перед запуском программа проверяет, запускается она в отладочной среде / «песочнице» или нет. Если да — процедура установки немедленно прекращается.
Майнер представляет собой слегка модифицированный исполняемый файл XMRig, подробно о котором мы рассказывали в 2020 году.
Если количество процессорных ядер устройства меньше 8, то майнер не запускается.
Наши продукты детектируют использованные в этой вредоносной кампании зловреды, такие как Trojan.Win64.StaryDobry.*, Trojan-Dropper.Win64.StaryDobry.*, HEUR:Trojan.Win64.StaryDobry.gen. Больше технических подробностей и индикаторы компрометации можно найти в публикации Securelist.
Как защититься от майнеров в корпоративной сети
С точки зрения защиты корпоративной инфраструктуры важно не столько, что это был за зловред, а где он был пойман. Майнер в корпоративной сети, разумеется, тоже неприятен, но он по крайней мере не крадет данные. Однако нет никаких гарантий, что в следующий раз в репаке игры не окажется стилер или шифровальщик. Пока сотрудники будут продолжать устанавливать пиратские игры на рабочие компьютеры, зловреды, ориентированные на геймеров, будут продолжать атаковать на рабочих машинах.
Поэтому основной совет для сотрудников ИБ-служб — запретить на уровне политик безопасности использовать торренты (если они, конечно, по каким-либо причинам не нужны для бизнес-процессов вашей компании). А в идеале стоит вообще запретить запуск ПО, не имеющего отношения к рабочему процессу. Кроме того, у нас есть два традиционных совета.
Все рабочие устройства, должны иметь надежное защитное решение.
Обучайте сотрудников основам кибербезопасности. В подавляющем большинстве случаев именно человек является отправной точкой при различных атаках на компьютеры компании. Поэтому особенно важно подготовить коллег к встречам с актуальными киберугрозами. Сделать это можно, например, при помощи интерактивной образовательной онлайн-платформы Kaspersky Automated Security Awareness Platform.
Блог Касперского