Во втором квартале 2025 года на территории России выявили масштабные кибератаки, за которыми стоит международная группировка Kinsing. Об этом «Газете.Ru» рассказали в пресс-службе компании F6. Под удар попали организации, работающие в финансовом секторе, логистике и телекоммуникациях.
Kinsing, также известная как H2Miner или Resourceful Wolf, активна с 2019 года и до недавнего времени действовала преимущественно за пределами РФ. Основная цель преступников — внедрение вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Параллельно хакеры формируют и расширяют ботнет-сети, используя зараженные устройства.
Поводом для расследования стал инцидент весной 2025 года, когда один из клиентов F6 зафиксировал подозрительную активность на внешних серверах. Получив список IP-адресов, с которых велись атаки, компания передала данные в свой департамент киберразведки (Threat Intelligence) для установления источника угрозы.
В ходе анализа индикаторов компрометации, сетевого трафика и сопоставления выявленных тактик, техник и процедур с известными данными специалистам удалось атрибутировать атаки Kinsing.
В отличие от многих других киберпреступных групп, Kinsing не использует фишинговые письма. Вместо этого злоумышленники сканируют инфраструктуру компаний на наличие уязвимостей, позволяющих выполнить вредоносный код в системе. После успешного взлома на устройство загружается скрипт, удаляющий майнеры конкурентов и устанавливающий собственное ПО.
Целью атак в основном становятся Linux-серверы. Последствия заражения включают падение производительности, замедление работы и ускоренный износ оборудования, что в итоге может привести к серьезным финансовым потерям для бизнеса.