F6 раскрыла охоту Kinsing на российские компании — сервера превратились в криптошахты

Kinsing F6 кибератака майнинг linux monero Россия
F6 раскрыла охоту Kinsing на российские компании — сервера превратились в криптошахты
Kinsing F6 кибератака майнинг linux monero Россия

Майнер-киллер убивает конкурентов и оседает в Linux-системах.

image

Во втором квартале 2025 года компания F6 зафиксировала волну атак группировки Kinsing на российские компании из сфер финансов, логистики и телекоммуникаций. Целью атак было заражение устройств вредоносным программным обеспечением для майнинга криптовалют. За пределами России Kinsing действует с 2019 года, а в этом году впервые предприняла масштабное наступление на российских пользователей.

Злоумышленников удалось установить в результате исследования. Весной 2025 года один из клиентов F6 зафиксировал попытку кибератаки на внешние серверы и передал список IP-адресов в департамент киберразведки для атрибуции.

В ходе проверки индикаторов компрометации, анализа сетевого трафика, корреляции с внешними источниками Threat Intelligence и сопоставления выявленных тактик, техник и процедур злоумышленников специалисты F6 установили, что за атаками стоит группировка Kinsing. Она также известна как H2Miner и Resourceful Wolf, специализируется на криптоджекинге — незаконном использовании вычислительных ресурсов заражённых систем для добычи криптовалюты Monero (XMR) — и на создании ботнетов.

В отличие от большинства киберпреступных группировок, Kinsing не использует фишинг. Преступники сканируют инфраструктуру компаний, выявляют уязвимости в программном обеспечении и эксплуатируют их для выполнения вредоносного кода. После успешного проникновения загружается скрипт, который удаляет майнеры конкурентов и устанавливает собственный.

Атаки направлены на серверные Linux-системы. Их заражение майнером приводит к замедлению работы, снижению производительности и ускоренному износу оборудования.

Большинство атак Kinsing с момента начала её деятельности было зафиксировано в Северной Америке, Западной Европе и Азии. В 2024 году в России была зафиксирована атака этой группы, но без указания цели и географической привязки. В 2025 году она впервые начала масштабное наступление на российские организации.

Подробности исследования, в ходе которого специалисты выявили вредоносные файлы и инфраструктуру Kinsing, провели анализ активности, разработали и внедрили правила хантинга и индикаторы компрометации, опубликованы в блоге F6 .