Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, во втором квартале 2025 года зафиксировала волну атак группировки Kinsing на российские компании из сфер финансов, логистики и телекома. Целью этих атак было заражение устройств вредоносным ПО для майнинга криптовалют. За пределами нашей страны группировка Kinsing действует с 2019 года, а в этом году впервые предприняла масштабное наступление на российских пользователей.

Установить злоумышленников удалось в результате исследования, которое провели аналитики F6. Весной 2025 года один из клиентов компании зафиксировал попытку кибератаки на свои внешние сервера. Со списком IP-адресов, с которых велась атака, он обратился в департамент киберразведки (Threat Intelligence) компании F6 за атрибуцией – выяснить, кто стоит за атакой.

В результате тщательной проверки индикаторов компрометации (IoCs), анализа сетевого трафика, корреляции с внешними источниками Threat Intelligence и сопоставления выявляемых тактик, техник и процедур (TTPs) злоумышленника специалисты F6 вышли на след группировки Kinsing. Эта киберпреступная группа, получившая название от вредоносного программного обеспечения Kinsing, которое активно использует в своих атаках, также известна как H2Miner и Resourceful Wolf. Группировка специализируется на криптоджекинге – незаконном использовании вычислительных ресурсов зараженных систем для майнинга криптовалют, преимущественно Monero (XMR), а также на создании и расширении ботнетов.

В отличие от большинства киберпреступных группировок Kinsing не прибегает к фишинговым атакам. Злоумышленники сканируют инфраструктуру компании, чтобы выявить уязвимости в программном обеспечении, которые затем используют для выполнения вредоносного кода в системе. В случае успешной атаки на устройство жертвы загружается и запускается вредоносный скрипт, который ищет на устройстве майнеры конкурентов, при обнаружении удаляет их и устанавливает майнер группировки. Атаки Kinsing нацелены на серверные Linux-системы компаний. Результатом их заражения майнером может стать замедление работы и снижение производительности, ускоренный износ оборудования.

Большинство атак Kinsing с момента начала её деятельности были зафиксированы в Северной Америке, Западной Европе и Азии. В 2024 году российские исследователи сообщили об обнаружении атаки Kinsing, не обозначая цель атаки и её территориальное расположение. В 2025 году киберпреступная группировка впервые начала масштабное наступление против российских организаций.

«Кейс с атаками Kinsing на российские компании наглядно демонстрирует необходимость построения защиты даже от самых редких и экзотических киберугроз. Киберпреступные группировки не ограничиваются определёнными отраслями или регионами. В любой момент они могут повернуть своё оружие против пользователей в любой точке мира».

Владислав Куган

Аналитик отдела исследования кибератак департамента Threat Intelligence компании F6

Подробности исследования, в ходе которого аналитики F6 выявили вредоносные файлы и инфраструктуру группировки Kinsing, провели анализ её активности, разработали и внедрили правила хантинга, а также индикаторы компрометации – в новом блоге на сайте F6.

Для предотвращения кибератак c использованием вредоносного программного обеспечения, распространяемого группировкой Kinsing, и атак групп со схожими техниками специалисты F6 рекомендуют следующие меры.

• Проводите регулярный анализ и сканирование сетевой инфраструктуры.
• Применяйте данные киберразведки, например, F6 Threat Intelligence, для проактивного поиска и обнаружения угроз. Это поможет вовремя идентифицировать и нейтрализовать потенциальные опасности.
• Внедряйте современные средства обнаружения и реагирования на киберугрозы. Например, решение F6 Managed XDR использует многочисленные источники телеметрии и передовые технологии машинного обучения для выявления угроз и реагирования на них.