Майнила
Майнила — это деструктивная программа (компьютерный вирус), предназначенная для несанкционированного использования вычислительных ресурсов заражённого устройства (компьютера, сервера, смартфона) с целью добычи (майнинга) криптовалют. Относится к классу троянских программ (троянов) и программ-вымогателей, часто маскируется под легитимное программное обеспечение или распространяется через уязвимости в системе.
История
Первые упоминания о вредоносных программах, нацеленных на майнинг, относятся к 2011 году, когда появились скрипты для добычи биткоина, внедряемые на веб-сайты без ведома пользователей. Однако термин «майнила» (от англ. mine — добывать) закрепился в 2013–2014 годах, когда рост популярности криптовалют, особенно биткоина и альткоинов, сделал кражу вычислительных мощностей экономически привлекательной для злоумышленников.
В 2017–2018 годах, в период пика интереса к криптовалютам, майнилы стали одной из самых распространённых угроз. В 2018 году компания «Лаборатория Касперского» зафиксировала рост числа атак с использованием майнеров на 44,5% по сравнению с предыдущим годом. В этот период массовое распространение получили так называемые «браузерные майнеры» (например, CoinHive), которые использовали ресурсы посетителей сайтов без их согласия. После закрытия CoinHive в 2019 году и ужесточения политики браузеров в отношении скрытого майнинга, злоумышленники переключились на более сложные методы — внедрение майнеров в пиратское программное обеспечение, игры и мобильные приложения.
Классификация
Майнилы классифицируются по способу распространения, типу используемых ресурсов и целевому программному обеспечению.
По способу распространения
- Троянские майнеры: Проникают на устройство под видом полезного ПО (например, кодеки, утилиты для ускорения работы компьютера, взломанные игры). Пользователь сам запускает вредоносный файл.
- Веб-майнеры (браузерные): JavaScript-скрипты, встроенные в код веб-страницы. Начинают майнинг при открытии сайта в браузере. Работают только пока страница активна.
- Черви и сетевые майнеры: Распространяются через уязвимости в операционной системе или сетевых протоколах (например, EternalBlue), заражая все доступные устройства в сети.
- Майнеры в составе ботнетов: Устройство становится частью сети ботов (ботнета), управляемой злоумышленником. Майнинг координируется централизованно.
По типу используемых ресурсов
- CPU-майнеры: Используют центральный процессор (CPU). Эффективны для добычи криптовалют, устойчивых к ASIC-майнингу (например, Monero).
- GPU-майнеры: Используют графический процессор (GPU). Более производительны, но и более заметны из-за высокой нагрузки на видеокарту.
- Майнеры для мобильных устройств: Оптимизированы для ARM-процессоров. Быстро разряжают аккумулятор и вызывают перегрев смартфона.
По целевому программному обеспечению
- Для Windows: Наиболее распространённый тип. Внедряются в системные процессы, службы, автозагрузку.
- Для Linux: Часто нацелены на серверы и веб-хостинг. Используют уязвимости в веб-приложениях (WordPress, Joomla).
- Для macOS: Встречаются реже, но известны случаи заражения через пиратские версии программ (например, Adobe Photoshop).
- Для Android: Распространяются через сторонние магазины приложений. Маскируются под игры, утилиты, фонарики.
Устройство и принцип работы
Майнила, как правило, состоит из двух основных компонентов:
- Дроппер (загрузчик): Небольшая программа, отвечающая за внедрение основного модуля в систему. Маскируется под легитимный файл, отключает антивирус, создаёт задачи в планировщике Windows или демоны в Linux для обеспечения автозапуска.
- Майнинг-модуль: Исполняемый файл или библиотека, реализующая алгоритм хеширования (например, CryptoNight, RandomX, Ethash). Модуль подключается к пулу (серверу для объединения мощностей майнеров), используя адрес кошелька злоумышленника. Для маскировки трафика может использоваться шифрование (HTTPS) или протоколы, имитирующие легитимный веб-трафик.
Основные признаки работы майнилы на устройстве:
- Постоянная 100% загрузка процессора или видеокарты в фоновом режиме.
- Замедление работы системы, зависания приложений.
- Шум кулеров (вентиляторов) из-за перегрева.
- Увеличение счетов за электроэнергию.
- Появление неизвестных процессов в диспетчере задач (например,
svchost.exeс подозрительным именем,xmrig.exe,minerd.exe).
Применение и значение
Майнила является инструментом для извлечения финансовой выгоды. Её основное применение — криптовалютное мошенничество. Злоумышленники не крадут данные напрямую, а используют ресурсы жертвы для генерации криптовалюты, которая затем переводится на их кошельки.
Экономическое значение майнилы заключается в том, что она позволяет злоумышленникам получать доход без прямого вымогательства (как программы-шифровальщики) или кражи банковских данных. При этом ущерб для владельца устройства складывается из:
- Снижения производительности и срока службы оборудования (из-за постоянной работы на пределе).
- Повышенного энергопотребления.
- Риска выхода из строя компонентов (особенно видеокарт и блоков питания).
Примеры известных майнил
- CoinMiner (WannaMine): Один из самых массовых майнеров, распространявшийся через уязвимость EternalBlue (MS17-010). Использовал протокол SMB для заражения компьютеров в локальной сети. Добывал криптовалюту Monero.
- Smoke Loader: Троян-загрузчик, который часто использовался для доставки майнеров на заражённые машины. Мог маскироваться под обновления ПО.
- XMRig: Легитимный open-source майнер для Monero, который часто используется злоумышленниками в качестве основы для вредоносных модификаций. Внедряется в системы без ведома пользователя.
- WebMiner (CoinHive): Браузерный майнер, работавший на JavaScript. Был популярен на сайтах с пиратским контентом. Закрыт в 2019 году.
- BadShell: Майнер, который внедрялся в процессы Windows (например,
explorer.exe) и использовал PowerShell для скрытой работы.
Методы защиты
Защита от майнил включает несколько уровней:
- Программные меры:
- Использование антивирусного ПО с актуальными базами (например, Kaspersky, ESET, Dr.Web).
- Включение брандмауэра (файрвола) для блокировки подозрительных исходящих соединений к майнинг-пулам.
- Использование расширений браузера, блокирующих скрипты (например, NoScript, uBlock Origin).
- Регулярное обновление операционной системы и программного обеспечения для закрытия уязвимостей.
- Организационные меры:
- Ограничение прав пользователей (запрет на установку ПО без прав администратора).
- Запрет на использование пиратского и нелицензионного ПО.
- Мониторинг загрузки процессора и видеокарты на серверах и рабочих станциях.
- Аппаратные меры:
- Установка систем охлаждения с достаточным запасом мощности.
- Использование источников бесперебойного питания (ИБП) для защиты от скачков напряжения.
Критика и правовые аспекты
Использование майнилы без согласия владельца устройства является незаконным в большинстве стран мира. В России, согласно Уголовному кодексу РФ, такие действия могут квалифицироваться как:
- Неправомерный доступ к компьютерной информации (ст. 272 УК РФ).
- Создание, использование и распространение вредоносных программ (ст. 273 УК РФ).
- Мошенничество в сфере компьютерной информации (ст. 159.6 УК РФ).
Критика в адрес майнилы связана не только с её незаконностью, но и с наносимым экономическим ущербом. В отличие от программ-вымогателей, которые требуют выкуп, майнила может оставаться незамеченной длительное время, нанося ущерб в виде износа оборудования и повышенных счетов за электроэнергию. Кроме того, массовое использование майнил в ботнетах способствует росту потребления электроэнергии и, как следствие, увеличению углеродного следа.
Источники
- Лаборатория Касперского. «Майнеры: как злоумышленники зарабатывают на вашем компьютере». 2018.
- Group-IB. «Отчёт о киберугрозах 2019–2020».
- Positive Technologies. «Анализ угроз: криптоджекинг». 2021.
- ESET. «Threat Report: Cryptomining». 2022.
- Уголовный кодекс Российской Федерации (ст. 272, 273, 159.6).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →