Специализирующаяся на кибербезопасности компания F6 (ранее F.A.C.C.T., а также Group-IB в России) во втором квартале 2025 года зарегистрировала волну атак группировки Kinsing на российские компании из сфер финансов, логистики и телекома.
Целью этих атак было заражение устройств вредоносным ПО для майнинга криптовалют. Как отметили в F6, за пределами нашей страны группировка Kinsing действует с 2019 года, а в этом году впервые предприняла масштабное наступление на российских пользователей.
В компании рассказали:
Весной 2025 года один из клиентов компании зафиксировал попытку кибератаки на свои внешние сервера. Со списком IP-адресов, с которых велась атака, он обратился в департамент киберразведки (Threat Intelligence) компании F6 за атрибуцией – выяснить, кто стоит за атакой.
В результате проверки индикаторов компрометации (IoCs), анализа сетевого трафика, корреляции с внешними источниками Threat Intelligence и сопоставления выявляемых тактик, техник и процедур (TTPs) злоумышленника, специалисты F6 вышли на след группировки Kinsing. Эта киберпреступная группа, получившая название от вредоносного программного обеспечения Kinsing, которое активно использует в своих атаках, также известна как H2Miner и Resourceful Wolf. Группировка специализируется на криптоджекинге – незаконном использовании вычислительных ресурсов зараженных систем для майнинга криптовалюты, преимущественно Monero (XMR), а также на создании и расширении ботнетов.
Главное отличие Kinsing в том, что она не прибегает к фишинговым атакам. Злоумышленники сканируют инфраструктуру компании, чтобы выявить уязвимости в программном обеспечении, которые затем используют для выполнения вредоносного кода в системе. Атаки Kinsing нацелены на серверные Linux-системы компаний.