Открыть сервис

Майнила

Майнила — это деструктивная программа (компьютерный вирус), предназначенная для несанкционированного использования вычислительных ресурсов заражённого устройства (компьютера, сервера, смартфона) с целью добычи (майнинга) криптовалют. Относится к классу троянских программ (троянов) и программ-вымогателей, часто маскируется под легитимное программное обеспечение или распространяется через уязвимости в системе.

История

Первые упоминания о вредоносных программах, нацеленных на майнинг, относятся к 2011 году, когда появились скрипты для добычи биткоина, внедряемые на веб-сайты без ведома пользователей. Однако термин «майнила» (от англ. mine — добывать) закрепился в 2013–2014 годах, когда рост популярности криптовалют, особенно биткоина и альткоинов, сделал кражу вычислительных мощностей экономически привлекательной для злоумышленников.

В 2017–2018 годах, в период пика интереса к криптовалютам, майнилы стали одной из самых распространённых угроз. В 2018 году компания «Лаборатория Касперского» зафиксировала рост числа атак с использованием майнеров на 44,5% по сравнению с предыдущим годом. В этот период массовое распространение получили так называемые «браузерные майнеры» (например, CoinHive), которые использовали ресурсы посетителей сайтов без их согласия. После закрытия CoinHive в 2019 году и ужесточения политики браузеров в отношении скрытого майнинга, злоумышленники переключились на более сложные методы — внедрение майнеров в пиратское программное обеспечение, игры и мобильные приложения.

Классификация

Майнилы классифицируются по способу распространения, типу используемых ресурсов и целевому программному обеспечению.

По способу распространения

  • Троянские майнеры: Проникают на устройство под видом полезного ПО (например, кодеки, утилиты для ускорения работы компьютера, взломанные игры). Пользователь сам запускает вредоносный файл.
  • Веб-майнеры (браузерные): JavaScript-скрипты, встроенные в код веб-страницы. Начинают майнинг при открытии сайта в браузере. Работают только пока страница активна.
  • Черви и сетевые майнеры: Распространяются через уязвимости в операционной системе или сетевых протоколах (например, EternalBlue), заражая все доступные устройства в сети.
  • Майнеры в составе ботнетов: Устройство становится частью сети ботов (ботнета), управляемой злоумышленником. Майнинг координируется централизованно.

По типу используемых ресурсов

  • CPU-майнеры: Используют центральный процессор (CPU). Эффективны для добычи криптовалют, устойчивых к ASIC-майнингу (например, Monero).
  • GPU-майнеры: Используют графический процессор (GPU). Более производительны, но и более заметны из-за высокой нагрузки на видеокарту.
  • Майнеры для мобильных устройств: Оптимизированы для ARM-процессоров. Быстро разряжают аккумулятор и вызывают перегрев смартфона.

По целевому программному обеспечению

  • Для Windows: Наиболее распространённый тип. Внедряются в системные процессы, службы, автозагрузку.
  • Для Linux: Часто нацелены на серверы и веб-хостинг. Используют уязвимости в веб-приложениях (WordPress, Joomla).
  • Для macOS: Встречаются реже, но известны случаи заражения через пиратские версии программ (например, Adobe Photoshop).
  • Для Android: Распространяются через сторонние магазины приложений. Маскируются под игры, утилиты, фонарики.

Устройство и принцип работы

Майнила, как правило, состоит из двух основных компонентов:

  1. Дроппер (загрузчик): Небольшая программа, отвечающая за внедрение основного модуля в систему. Маскируется под легитимный файл, отключает антивирус, создаёт задачи в планировщике Windows или демоны в Linux для обеспечения автозапуска.
  2. Майнинг-модуль: Исполняемый файл или библиотека, реализующая алгоритм хеширования (например, CryptoNight, RandomX, Ethash). Модуль подключается к пулу (серверу для объединения мощностей майнеров), используя адрес кошелька злоумышленника. Для маскировки трафика может использоваться шифрование (HTTPS) или протоколы, имитирующие легитимный веб-трафик.

Основные признаки работы майнилы на устройстве:

  • Постоянная 100% загрузка процессора или видеокарты в фоновом режиме.
  • Замедление работы системы, зависания приложений.
  • Шум кулеров (вентиляторов) из-за перегрева.
  • Увеличение счетов за электроэнергию.
  • Появление неизвестных процессов в диспетчере задач (например, svchost.exe с подозрительным именем, xmrig.exe, minerd.exe).

Применение и значение

Майнила является инструментом для извлечения финансовой выгоды. Её основное применение — криптовалютное мошенничество. Злоумышленники не крадут данные напрямую, а используют ресурсы жертвы для генерации криптовалюты, которая затем переводится на их кошельки.

Экономическое значение майнилы заключается в том, что она позволяет злоумышленникам получать доход без прямого вымогательства (как программы-шифровальщики) или кражи банковских данных. При этом ущерб для владельца устройства складывается из:

  • Снижения производительности и срока службы оборудования (из-за постоянной работы на пределе).
  • Повышенного энергопотребления.
  • Риска выхода из строя компонентов (особенно видеокарт и блоков питания).

Примеры известных майнил

  • CoinMiner (WannaMine): Один из самых массовых майнеров, распространявшийся через уязвимость EternalBlue (MS17-010). Использовал протокол SMB для заражения компьютеров в локальной сети. Добывал криптовалюту Monero.
  • Smoke Loader: Троян-загрузчик, который часто использовался для доставки майнеров на заражённые машины. Мог маскироваться под обновления ПО.
  • XMRig: Легитимный open-source майнер для Monero, который часто используется злоумышленниками в качестве основы для вредоносных модификаций. Внедряется в системы без ведома пользователя.
  • WebMiner (CoinHive): Браузерный майнер, работавший на JavaScript. Был популярен на сайтах с пиратским контентом. Закрыт в 2019 году.
  • BadShell: Майнер, который внедрялся в процессы Windows (например, explorer.exe) и использовал PowerShell для скрытой работы.

Методы защиты

Защита от майнил включает несколько уровней:

  1. Программные меры:
  • Использование антивирусного ПО с актуальными базами (например, Kaspersky, ESET, Dr.Web).
  • Включение брандмауэра (файрвола) для блокировки подозрительных исходящих соединений к майнинг-пулам.
  • Использование расширений браузера, блокирующих скрипты (например, NoScript, uBlock Origin).
  • Регулярное обновление операционной системы и программного обеспечения для закрытия уязвимостей.
  1. Организационные меры:
  • Ограничение прав пользователей (запрет на установку ПО без прав администратора).
  • Запрет на использование пиратского и нелицензионного ПО.
  • Мониторинг загрузки процессора и видеокарты на серверах и рабочих станциях.
  1. Аппаратные меры:
  • Установка систем охлаждения с достаточным запасом мощности.
  • Использование источников бесперебойного питания (ИБП) для защиты от скачков напряжения.

Критика и правовые аспекты

Использование майнилы без согласия владельца устройства является незаконным в большинстве стран мира. В России, согласно Уголовному кодексу РФ, такие действия могут квалифицироваться как:

  • Неправомерный доступ к компьютерной информации (ст. 272 УК РФ).
  • Создание, использование и распространение вредоносных программ (ст. 273 УК РФ).
  • Мошенничество в сфере компьютерной информации (ст. 159.6 УК РФ).

Критика в адрес майнилы связана не только с её незаконностью, но и с наносимым экономическим ущербом. В отличие от программ-вымогателей, которые требуют выкуп, майнила может оставаться незамеченной длительное время, нанося ущерб в виде износа оборудования и повышенных счетов за электроэнергию. Кроме того, массовое использование майнил в ботнетах способствует росту потребления электроэнергии и, как следствие, увеличению углеродного следа.

Источники

  • Лаборатория Касперского. «Майнеры: как злоумышленники зарабатывают на вашем компьютере». 2018.
  • Group-IB. «Отчёт о киберугрозах 2019–2020».
  • Positive Technologies. «Анализ угроз: криптоджекинг». 2021.
  • ESET. «Threat Report: Cryptomining». 2022.
  • Уголовный кодекс Российской Федерации (ст. 272, 273, 159.6).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →