Криптоджекинг остается одной из незаметных угроз современной киберпреступности — злоумышленники не крадут данные и не блокируют системы, а тайно захватывают вычислительные мощности чужих устройств, добывая криптовалюту за счет другого пользователя. В материале для «Компьютерры» Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера «Шард», подробно разбирает, как работает криптоджекинг, по каким признакам его можно распознать и что делать, чтобы не стать частью чужой майнинговой инфраструктуры.
Что такое криптоджекинг
Криптоджекинг — разновидность киберпреступной деятельности, при которой злоумышленники без ведома владельца используют вычислительные ресурсы чужих устройств для добычи криптовалюты. В отличие от большинства других угроз, цель здесь не в краже данных или денежных средств — атакующих интересуют аппаратные мощности: процессор, видеокарта, оперативная память и электроэнергия.
Устройство жертвы фактически становится частью распределенной майнинговой инфраструктуры, которая приносит доход злоумышленнику без его затрат на оборудование и электроэнергию.
Экономическая основа криптоджекинга связана с принципом функционирования криптовалютных сетей, использующих технологию блокчейн. Для подтверждения транзакций и формирования новых блоков в цепочке требуется выполнение сложных математических вычислений. Эти вычисления выполняют так называемые майнеры — участники сети, предоставляющие вычислительные мощности и получающие вознаграждение в виде криптовалюты.
Однако полноценный майнинг требует значительных инвестиций в специализированное оборудование и электроэнергию. Киберпреступники обходят эту проблему, тайно задействуя ресурсы чужих компьютеров, смартфонов или серверов, превращая их в распределенную сеть добычи цифровых активов.
Как злоумышленники проникают в устройства
Механизм криптоджекинга основан на скрытом внедрении майнингового кода в вычислительную среду жертвы и последующем использовании ее аппаратных ресурсов для выполнения криптографических вычислений, необходимых для добычи криптовалюты.
Технически процесс начинается с компрометации устройства пользователя или сетевой инфраструктуры. Это может происходить через фишинговые сообщения с вредоносными ссылками или вложениями, зараженные веб-сайты, уязвимости в программном обеспечении.
После проникновения в систему вредоносный код устанавливает майнинговый модуль либо запускает скрипт, который начинает выполнять вычисления в фоновом режиме.
Существует две наиболее распространенные архитектуры реализации криптоджекинга:
- Первый — установка вредоносного ПО непосредственно в операционную систему. Майнер маскируется под обычный системный процесс и эксплуатирует ресурсы процессора, видеокарты и оперативной памяти. Результаты вычислений уходят на удаленный сервер злоумышленника, где засчитываются как его вклад в майнинг.
- Второй способ — браузерный криптоджекинг. В веб-страницу или рекламный блок встраивается вредоносный JavaScript, который активируется в момент открытия сайта и использует мощности устройства пока вкладка открыта. Некоторые атакующие идут дальше: с помощью скрытых или «поп-андер» окон скрипт продолжает работать даже после того, как пользователь закрыл страницу.
Легальный майнинг требует дорогостоящего оборудования, систем охлаждения и постоянных затрат на электроэнергию. Криптоджекинг позволяет злоумышленникам получить те же вычислительные мощности бесплатно — все расходы несут владельцы зараженных устройств.
Чем опасен криптоджекинг
Вредоносные майнинговые скрипты создают постоянную высокую нагрузку на процессор и видеокарту, что напрямую сказывается на работе устройства. Пользователь может столкнуться с замедлением работы приложений, зависаниями, перегревом устройства и ускоренным разрядом аккумулятора на мобильных устройствах и ноутбуках. Постоянная высокая нагрузка также повышает риск аппаратного износа компонентов, таких как процессор, система охлаждения и аккумулятор, что в долгосрочной перспективе может сократить срок службы устройства.
В корпоративной инфраструктуре последствия масштабируются. Заражение даже части рабочих станций или серверов ведет к ощутимым потерям производительности: серверные системы хуже справляются с основными задачами, корпоративные сервисы замедляются, качество обслуживания клиентов снижается, бизнес-процессы дают сбои.
Отдельная статья потерь для компаний — операционные расходы. Постоянная нагрузка на оборудование повышает энергопотребление дата-центров и офисных систем, а также ускоряет износ серверного оборудования. В результате организации вынуждены чаще проводить техническое обслуживание или замену аппаратных компонентов. Кроме того, ИТ-подразделениям приходится тратить ресурсы на диагностику проблем с производительностью, поиск источника заражения и восстановление нормальной работы инфраструктуры.
Реальные случаи атак
Один из наиболее показательных примеров — деятельность группировки Kinsing, специализирующейся на атаках серверной инфраструктуры. В 2025 году исследователи зафиксировали волну атак на российские компании финансового, логистического и телекоммуникационного секторов.
Злоумышленники сканировали серверы в поисках уязвимостей в компонентах веб-приложений и неправильно настроенных сервисах Docker, после чего внедряли вредоносные скрипты. Те отключали защитные механизмы, удаляли конкурирующее вредоносное ПО и устанавливали майнеры XMRig и собственный бинарный модуль Kinsing. Зараженные серверы начинали добывать криптовалюту Monero и попутно становились частью ботнета для дальнейшего распространения атаки.
Другой масштабный случай связан с атакой на сетевое оборудование. В 2018 году злоумышленники скомпрометировали более 200 000 маршрутизаторов MikroTik, воспользовавшись уязвимостью в их программном обеспечении. После взлома в веб-трафик, проходящий через зараженные устройства, внедрялся майнинговый скрипт. Каждый пользователь, открывавший сайты через такой роутер, невольно участвовал в скрытом майнинге.
Как определить скрытую атаку
Как упоминалось ранее, один из первых тревожных сигналов — необъяснимое замедление работы устройства. Это может указывать на то, что часть вычислительных ресурсов занята сторонними процессами. Также стоит обращать внимание на косвенные признаки поведения самого устройства.
Проверить подозрения поможет диспетчер задач, системный монитор или специализированные средства мониторинга. Если какой-либо процесс потребляет значительную долю мощности процессора в то время, когда пользователь не запускает ничего ресурсоемкого, это повод для более детального изучения.
Как защититься от криптоджекинга
Базовый уровень защиты — современное антивирусное решение, способное обнаруживать и блокировать майнинговые скрипты и вредоносное ПО. Для браузера стоит установить специализированные расширения, блокирующие майнинг-код, а также блокировщик рекламы: криптоджекинг нередко распространяется именно через рекламные сети.
Чтобы защитить устройство, важно отслеживать такие симптомы, как внезапное замедление работы, перегрев процессора, быстрый разряд батареи и подозрительные сетевые соединения с неизвестными серверами. Эти признаки могут сигнализировать о наличии майнинговых скриптов, работающих в фоновом режиме.