Узнайте, что такое криптоджекинг, как злоумышленники используют ваш компьютер для майнинга криптовалюты и как защититься от этого. Читайте рекомендации по безопасности
Что такое криптоджекинг? Это тайное использование злоумышленниками чужого компьютера или телефона для добычи криптовалюты. Владелец устройства даже не подозревает, что его техника нагружена майнингом. Чаще всего это происходит из-за вредоносного ПО, которое хакеры незаметно устанавливают на устройство — например, вируса или майнер-бота.
Существует два основных способа, которыми злоумышленники внедряют криптоджекинг.
Криптовалюты работают на основе блокчейна — распределенной базы данных, в которую постоянно записываются все транзакции. Когда накапливается достаточно операций, они формируются в блок. Для его создания требуется решить сложную математическую задачу.
Злоумышленники внедряют вредоносные программы на компьютеры обычных пользователей, превращая их в скрытые майнинговые фермы. Жертвы могут даже не подозревать, что их процессор или видеокарта (или и то, и другое) используются для добычи криптовалюты, пока устройство не начнет перегреваться или резко замедлится работа системы.
За генерацию новых блоков майнеры получают вознаграждение в криптовалюте. По сути, это оплата за предоставление вычислительных мощностей.
Крупные майнинговые компании содержат целые фермы — помещения с мощным оборудованием, которое круглосуточно выполняет расчеты. Такой процесс потребляет огромное количество электроэнергии.
Три перечисленные выше криптовалюты – лишь самые популярные среди злоумышленников, но в последние годы ассортимент альткоинов, подчас дорогостоящих, увеличился.
Если говорить о криптовалютах, которые чаще всего встречаются в историях со скрытым майнингом, безусловный лидер здесь — Monero (XMR). Эта монета давно стала любимым инструментом злоумышленников: она анонимна, хорошо подходит для майнинга на центральных процессорах и не требует дорогого специализированного оборудования. Алгоритм RandomX как раз заточен под CPU, поэтому Monero удобно добывать на зараженных компьютерах, серверах и другой инфраструктуре жертвы. Для атакующих это почти идеальный вариант: майнинг можно распределить по множеству устройств, а саму активность не всегда легко заметить сразу.
Ethereum раньше тоже был крайне привлекательной целью для злоумышленников. Пока сеть работала на алгоритме Ethash и использовала модель Proof-of-Work, ETH активно майнили на видеокартах. Для ботнетов и вредоносных майнеров это был один из самых прибыльных вариантов. Но после перехода Ethereum на Proof-of-Stake классический майнинг ETH исчез, поэтому интерес злоумышленников к нему резко снизился.
Часть этой активности перешла в сторону Ethereum Classic (ETC). В отличие от Ethereum, он сохранил Proof-of-Work и продолжает майниться на GPU. Его популярность у злоумышленников нельзя назвать такой же высокой, как у Monero, но ETC все еще встречается в некоторых ботнетах, особенно после ухода ETH из майнинговой повестки.
Еще одна монета, которая периодически появляется в подобных схемах, — Ravencoin (RVN). Она использует алгоритм KawPow и тоже ориентирована на видеокарты. Для атакующих Ravencoin интересен тем, что он устойчив к ASIC и может приносить прибыль на GPU. Но массовым фаворитом киберпреступников он все же не стал, поэтому его популярность можно оценить как среднюю.
Dogecoin (DOGE), несмотря на известность, в скрытом майнинге встречается заметно реже. Он использует алгоритм Scrypt и обычно майнится либо на ASIC, либо в связке с Litecoin. Для злоумышленников это не самый удобный вариант: добыча требует более специфичных ресурсов, а скрытый майнинг DOGE менее эффективен по сравнению с Monero или GPU-монетами.
Bitcoin (BTC) в контексте скрытого майнинга выглядит скорее как громкое имя, чем реальная рабочая цель. Да, он остается самой известной криптовалютой, но добывать его на обычных компьютерах практически бессмысленно. Для майнинга Bitcoin нужны ASIC-устройства, а они плохо подходят для скрытой установки и эксплуатации на чужой инфраструктуре. Поэтому популярность BTC у злоумышленников именно в таких сценариях низкая.
Zcash (ZEC) занимает промежуточное положение. С одной стороны, у него есть фактор относительной анонимности, а алгоритм Equihash исторически был удобен для GPU-майнинга. С другой — Zcash не стал настолько универсальным инструментом для скрытого майнинга, как Monero. Тем не менее он может встречаться в отдельных ботнетах и вредоносных кампаниях.
Grin и Beam тоже делают ставку на приватность, но для злоумышленников они менее привлекательны. Их можно майнить на GPU, они используют Cuckoo Cycle и BeamHash, однако низкая ликвидность и меньшая распространенность делают такие монеты не самым очевидным выбором для массовых атак.
Отдельно стоит упомянуть NiceHash. Это не криптовалюта, а платформа, через которую можно покупать и продавать вычислительные мощности. Для злоумышленников она может быть интересна как своего рода прокси-инструмент: зараженные устройства используются для майнинга, а полученные мощности или доход могут быть направлены на добычу разных монет. Поэтому NiceHash нередко рассматривают не как конечную цель, а как удобную инфраструктурную прослойку.
Наконец, есть старые ответвления Monero или так называемые форки, например TurtleCoin и Aeon. Форк — это криптовалюта, созданная на основе уже существующего блокчейна с изменениями в правилах работы сети, алгоритмах или других технических параметрах. Они используют CryptoNight и рассчитаны на CPU-майнинг, поэтому теоретически подходят для зараженных устройств. Но сегодня их популярность у злоумышленников низкая: такие монеты чаще встречаются в старых ботнетах или устаревших вредоносных кампаниях, чем в современных масштабных атаках.
В итоге картина выглядит так: чем проще майнить монету на обычном оборудовании, чем выше ее анонимность и чем легче скрыть активность, тем интереснее она злоумышленникам. Именно поэтому Monero остается главным фаворитом криптоджекинга, GPU-монеты вроде Ethereum Classic, Ravencoin и Zcash занимают вторую линию, а Bitcoin и Dogecoin чаще фигурируют в разговорах о майнинге, чем в реальных сценариях скрытой добычи.
Криптоджекинг часто остается незамеченным длительное время. Есть несколько характерных признаков, которые выдают скрытую добычу криптовалюты.
Если новый или недавно купленный гаджет внезапно начал быстро терять заряд, стоит проверить его на наличие майнингового ПО. Эти симптомы особенно опасны в корпоративной среде, где заражение одного компьютера может привести к компрометации всей сети.
Самый простой способ заподозрить скрытый майнинг — посмотреть, как устройство использует процессор, видеокарту и память. Ниже разберем проверку на примере Windows через «Диспетчер задач», но логика будет похожей и для macOS: там для этого используется «Мониторинг системы», где также можно посмотреть загрузку процессора, памяти, энергии и сетевую активность.
Итак, для начала нажмите Ctrl + Shift + Esc или кликните правой кнопкой мыши по панели задач и выберите «Диспетчер задач». После запуска автоматически откроется вкладка «Процессы».
Так можно быстро увидеть, какие приложения и фоновые процессы потребляют больше всего ресурсов. В некоторых версиях Windows также доступен столбец «ГП», то есть графический процессор или видеокарта. Если он отображается, его тоже можно использовать для проверки, но для базовой диагностики достаточно посмотреть нагрузку на процессор и память.
Если компьютер находится в простое, а какой-то неизвестный процесс стабильно потребляет много ресурсов, это повод насторожиться. Особенно подозрительно, если нагрузка на процессор держится на высоком уровне без запущенных игр, графических редакторов, видеомонтажа, архиваторов или других тяжелых программ.
Стоит обратить внимание на процессы с непонятными названиями, случайным набором букв, необычным расположением файла или слишком высоким потреблением ресурсов. Для дополнительной проверки можно кликнуть по процессу правой кнопкой мыши и выбрать «Открыть расположение файла».
Если файл находится в странной папке, например во временных каталогах, неизвестных директориях пользователя или маскируется под системный процесс, это может быть признаком вредоносной активности. Но удалять такой файл вручную сразу не стоит: сначала лучше проверить его антивирусом или передать информацию специалисту ИБ или ИТ, если это рабочий девайс.
Еще один тревожный сигнал — это резкое падение нагрузки после открытия «Диспетчера задач». Некоторые майнеры пытаются скрываться от пользователя и автоматически снижают активность, когда замечают запуск инструментов мониторинга. Поэтому лучше наблюдать за показателями не несколько секунд, а хотя бы несколько минут.
Для более точной проверки можно открыть вкладку «Производительность»м и посмотреть загрузку процессора, памяти, диска, сети и, если отображается, видеокарты в динамике.
Если устройство ничего не делает, но процессор продолжает активно работать, вентиляторы шумят, а корпус нагревается, стоит провести дополнительную антивирусную проверку и изучить сетевую активность устройства.
На macOS похожую проверку можно провести через «Мониторинг системы»: откройте приложение, перейдите на вкладки CPU, Память, Энергия или Сеть и посмотрите, какие процессы создают необычно высокую нагрузку. Признаки будут теми же: неизвестные процессы, высокая загрузка в простое, перегрев, быстрый расход батареи и нетипичная сетевая активность.
Важно помнить: высокая нагрузка сама по себе не доказывает наличие криптомайнера. Иногда ресурсы потребляют легитимные программы, обновления системы, браузер с большим количеством вкладок или корпоративные приложения. Но если высокая нагрузка сочетается с неизвестными процессами, перегревом, падением производительности и подозрительными сетевыми обращениями, это уже серьезный повод проверить устройство на заражение.
При обнаружении подозрительных признаков первым делом стоит провести полное сканирование системы антивирусом. Современные защитные решения способны выявлять и нейтрализовать большинство известных вредоносных майнеров.
После антивирусной проверки можно дополнительно очистить систему специализированными утилитами, например BleachBit. Такие программы помогают удалить временные файлы, кэш и другие остаточные данные, которые могут оставаться после работы вредоносного ПО. Для полного завершения очистки обычно требуется перезагрузка компьютера.
Если не хотите, чтобы ваше устройство использовалось в корыстных целях злоумышленников, то антивирус — это первое, что должно появиться в вашем компьютере. Но это не универсальная защита от криптоджекинга, лучше сочетать несколько методов.
Системные обновления часто кажутся пользователям назойливыми, но именно они закрывают уязвимости, используемые злоумышленниками. Каждое обновление устраняет бреши в защите, через которые хакеры проникают в систему.
Яркий пример — уязвимость EternalBlue, которую эксплуатировали для организации скрытого майнинга. После выпуска патча эта брешь перестала представлять угрозу.
Другие меры безопасности для предотвращения заражения майнером
Один из способов снизить риск криптоджекинга — использовать DNS-защиту. Она помогает блокировать обращения к известным вредоносным доменам, майнинговым пулам и серверам управления, с которыми майнеру нужно связаться для работы.
Если на устройство попадает майнинговый скрипт или вредоносное ПО, само по себе наличие DNS-защиты не удалит его из системы. Но она может не дать ему подключиться к инфраструктуре злоумышленников. В результате майнер не сможет получать задания, передавать результаты вычислений или взаимодействовать с управляющими серверами. Для пользователя это может выглядеть как обычная работа сайта или приложения, но вредоносная часть не сможет выполнить свою задачу.
Такой подход одинаково актуален и для домашних пользователей, и для корпоративных сетей. На отдельном компьютере DNS-защита помогает отсечь обращения к опасным ресурсам. В организации она дает дополнительный уровень контроля: позволяет видеть подозрительные DNS-запросы, фиксировать попытки подключения к майнинговым пулам и быстрее выявлять устройства, которые могут быть заражены.
Важно понимать, что DNS-защита не заменяет антивирус, EDR или другие средства защиты. Она работает как дополнительный превентивный барьер: не лечит уже зараженное устройство, а ограничивает связь вредоносного кода с внешней инфраструктурой. Поэтому ее лучше использовать вместе с антивирусной защитой, регулярными обновлениями системы, контролем расширений браузера и мониторингом сетевой активности.
Если нужна защита для компании, можно подключить тариф SkyDNS.Бизнес и SkyDNS.Бизнес+: они помогает централизованно управлять DNS-защитой, настраивать политики безопасности, видеть подозрительные обращения и снижать риск подключения устройств к вредоносной инфраструктуре.
Для домашнего использования подойдет тариф SkyDNS.Семейный. Он помогает защитить личные устройства и домашнюю сеть от опасных сайтов, вредоносных доменов и нежелательного контента без сложной настройки.
Злоумышленники активно эксплуатируют доверие к популярным платформам. Пример тому — легитимный сервис SourceForge. На одном из доменов платформы (sourceforge.io) был обнаружен фальшивый архив с офисными приложениями Microsoft. Вместо заявленного софта жертвы получали вредоносные файлы.
После перехода по ссылке пользователям предлагали скачать архив, содержащий два файла: запароленный архив и текстовый документ с кодом для его открытия. При распаковке запускалась цепочка загрузок, в результате которой на компьютер проникали:
Основная цель атаки — криптоджекинг и кража средств, но зараженные устройства могут быть использованы и для других, более опасных целей. Злоумышленники нередко продают доступ к таким компьютерам или используют их в более масштабных атаках.
Мошенники провели масштабную операцию по заражению игровых ПК, распространяя модифицированные версии популярных игр через торрент-трекеры. Под видом Garry’s Mod и BeamNG.drive, они распространяли вредоносное ПО с криптомайнером. Атака затронула пользователей из Германии, России и других стран в период с декабря 2024 по январь 2025 года.
Поддельные установщики появились в сети еще в сентябре, но основной вредоносный код активировался в праздничные дни, когда многие пользователи меньше внимания уделяли безопасности. В результате заражения на компьютеры попадал майнер XMRig, настроенный на добычу Monero. Перед запуском вредонос проверял систему на наличие защитного ПО и собирал данные о конфигурации оборудования, отправляя их злоумышленникам.
Майнер маскировался под системные процессы и использовал техники для обхода антивирусов. Хитрость этого примера заключается в том, что вредонос загружался только на мощные ПК с восемью и более ядрами процессора (поэтому внедрить его в игры было умным ходом), подключаясь к частным майнинговым пулам вместо публичных, что заметно затрудняло отслеживание украденных вычислительных ресурсов.
7 января 2025 года злоумышленники начали рассылку писем с предложениями работы разработчиком. В сообщениях, якобы от компании CrowdStrike, кандидатам предлагали скачать "необходимое для трудоустройства" приложение. На самом деле файл содержал XMRig — майнер для добычи Monero, использующий ресурсы зараженного компьютера.
Жертв перенаправляли на поддельный сайт, имитирующий официальный портал CrowdStrike. Для Windows и macOS предлагались разные версии вредоносной программы, замаскированной под софт для ускорения onboarding-процесса. После установки приложение проверяло окружение на наличие тестовых сред и средств защиты. При успешном обходе безопасности на экране появлялось фальшивое сообщение об ошибке, пока в фоне запускался майнинг.
Майнер работал в щадящем режиме, минимально нагружая систему, чтобы избежать обнаружения. Дополнительно настраивался автозапуск при каждой загрузке ОС — это позволяло злоумышленникам продолжать добычу криптовалюты даже после перезапуска устройства. В результате зараженные компьютеры превращались в скрытые майнинговые узлы без ведома владельцев.
