F6: Россия столкнулась с действующей с 2019 года хакерами Kinsing

В России впервые были зафиксированы кибератаки хакерской группировки Kinsing. Во втором квартале 2025 года, как сообщили "Газете.Ru" в пресс-службе компании F6, была зафиксирована волна атак Kinsing на предприятия из сфер финансов, логистики и телекома.

Группировка Kinsing, также известная как H2Miner и Resourceful Wolf, активно действует за пределами России с 2019 года.

Основной целью хакеров в РФ, как и в других странах, стало заражение устройств вредоносным программным обеспечением для скрытого майнинга криптовалют.

Специалисты выявили злоумышленников в результате проведенного исследования. Весной 2025 года один из клиентов компании зафиксировал попытку кибератаки на свои внешние серверы. Со списком IP-адресов, с которых велась атака, он обратился в департамент киберразведки (Threat Intelligence) компании F6 для атрибуции — выяснения, кто стоит за атакой.

В ходе тщательной проверки индикаторов компрометации (IoCs), анализа сетевого трафика, корреляции с внешними источниками Threat Intelligence и сопоставления выявляемых тактик, техник и процедур (TTPs) специалисты вышли на след группировки Kinsing. Эта киберпреступная группа получила название от одноименного вредоносного программного обеспечения Kinsing, которое активно используется в атаках. Группировка специализируется на криптоджекинге – незаконном использовании вычислительных ресурсов зараженных систем для майнинга криптовалют, преимущественно Monero (XMR), а также на создании и расширении ботнетов.

В отличие от большинства киберпреступных группировок, Kinsing не прибегает к фишинговым атакам.

Злоумышленники сканируют инфраструктуру компаний, чтобы выявить уязвимости в программном обеспечении, которые затем используют для выполнения вредоносного кода в системе. В случае успешной атаки на устройство жертвы загружается и запускается вредоносный скрипт, который ищет на устройстве майнеры конкурентов, при обнаружении удаляет их и устанавливает собственное вредоносное ПО. Атаки Kinsing преимущественно нацелены на серверные Linux-системы компаний. Результатом их заражения майнером может стать замедление работы и снижение производительности, а также ускоренный износ оборудования.