Хакеры-майнеры: новая угроза скрытого майнинга в России от группы Librarian Ghouls

Хакерская группа Librarian Ghouls, также известная под названием Rare Werewolf, провела взлом сотен российских устройств для тайного майнинга криптовалют. Эта информация была предоставлена специалистами из «Лаборатории Касперского».

Злоумышленники получили доступ к системам с помощью фишинговых писем, которые маскируются под сообщения от настоящих организаций и выглядят как официальные документы или платежные поручения.

После того, как компьютер заражен вредоносным программным обеспечением, хакеры устанавливают удаленное подключение и отключают системы безопасности, включая Защитник Windows. Затем они настраивают устройство на автоматический запуск в час ночи и отключение в пять утра. По оценке «Лаборатории Касперского», данный подход помогает злоумышленникам скрывать свои действия от пользователя.

В этот период они также крадут учетные данные. Прежде чем запустить программу для майнинга, хакеры собирают информацию о системе, такую как объем оперативной памяти, количество ядер процессора и характеристики видеокарты. Это позволяет им оптимально настроить программу под добычу криптовалюты. Во время работы майнера они поддерживают связь с пулом, отправляя запросы каждую минуту.

Кампания начала действовать в декабре 2024 года и продолжается до сих пор. Пострадали сотни пользователей в России, в основном на промышленных предприятиях и в технических университетах. Отдельные инциденты зарегистрированы также в Беларуси и Казахстане.

Происхождение группы остается неизвестным. Аналитики отметили, что фишинговые письма написаны на русском языке и содержат архивы с русскими названиями и документы-приманки. Это указывает на то, что их целевая аудитория, вероятно, состоит из русскоязычных пользователей или жителей России.

Специалисты высказывают предположение, что Librarian Ghouls могут быть хактивистами. Группа применяет легальное стороннее программное обеспечение вместо разработки собственного вредоносного кода — это характерная особенность подобных объединений. Согласно данным компании BI.ZONE, группировка Rare Werewolf активна как минимум с 2019 года.

Напомним, что в декабре 2024 года аналитики «Лаборатории Касперского» рассказали о новом скаме на YouTube.