15/08/25
Во втором квартале 2025 года компания F6 зафиксировала волну атак группировки Kinsing на российские компании из сфер финансов, логистики и телекоммуникаций. Целью атак было заражение устройств вредоносным программным обеспечением для майнинга криптовалют. За пределами России Kinsing действует с 2019 года, а в этом году впервые предприняла масштабное наступление на российских пользователей. Об этом пишет Securitylab.
Злоумышленников удалось установить в результате исследования. Весной 2025 года один из клиентов F6 зафиксировал попытку кибератаки на внешние серверы и передал список IP-адресов в департамент киберразведки для атрибуции.
В ходе проверки индикаторов компрометации, анализа сетевого трафика, корреляции с внешними источниками Threat Intelligence и сопоставления выявленных тактик, техник и процедур злоумышленников специалисты F6 установили, что за атаками стоит группировка Kinsing. Она также известна как H2Miner и Resourceful Wolf, специализируется на криптоджекинге — незаконном использовании вычислительных ресурсов заражённых систем для добычи криптовалюты Monero (XMR) — и на создании ботнетов.
В отличие от большинства киберпреступных группировок, Kinsing не использует фишинг. Преступники сканируют инфраструктуру компаний, выявляют уязвимости в программном обеспечении и эксплуатируют их для выполнения вредоносного кода. После успешного проникновения загружается скрипт, который удаляет майнеры конкурентов и устанавливает собственный.
Атаки направлены на серверные Linux-системы. Их заражение майнером приводит к замедлению работы, снижению производительности и ускоренному износу оборудования.
Большинство атак Kinsing с момента начала её деятельности было зафиксировано в Северной Америке, Западной Европе и Азии. В 2024 году в России была зафиксирована атака этой группы, но без указания цели и географической привязки. В 2025 году она впервые начала масштабное наступление на российские организации.
