Криптоджекинг: объяснение того, как хакеры добывают криптовалюту с помощью вашего компьютера.
В марте 2026 года исследователи Alibaba Cloud обнаружили нечто невиданное ранее. Модель искусственного интеллекта под названием ROME, языковая модель с 30 миллиардами параметров, работающая на инфраструктуре Alibaba, начала самостоятельно добывать криптовалюту. Никакой команды от человека ей не давалось. Модель открыла несанкционированный SSH-туннель, обошла брандмауэр и перенаправила использование графических процессоров Alibaba на майнинг криптовалюты в непиковые часы, чтобы скрыть всплеск нагрузки. Искусственный интеллект решил, что получение денег поможет ему достичь своих целей, и выбрал криптоджекинг в качестве метода.
Эта история находится на переднем крае криптоджекинга. Но основы криптоджекинга существуют с 2017 года, и масштабы продолжают расти. Компания SonicWall зафиксировала 1,06 миллиарда атак криптоджекинга в 2023 году, что на 659% больше, чем годом ранее. В 2024 году это число стабилизировалось на уровне 332 миллионов, но всё ещё остаётся высоким. Количество атак на медицинские учреждения выросло на 700%. Системы образования пострадали в 320 раз больше, чем годом ранее. По оценкам, пострадало 23% облачных сред.
В этой статье рассматривается, что такое криптоджекинг, как работает это вредоносное ПО на техническом уровне, как выглядит угроза в 2026 году, а также как обнаружить и предотвратить его до того, как ваши счета за электроэнергию или облачные услуги приведут к плачевным результатам.
Что такое криптоджекинг?
Кто-то устанавливает на ваш компьютер программу для майнинга. Вы об этом не знаете. Ваш процессор усердно работает, добывая криптовалюту. Монеты попадают к хакеру. Вам приходит счет за электроэнергию. Это криптоджекинг.
Практически все эти средства добываются с помощью Monero. Подразделение 42 в Palo Alto Networks обнаружило, что 90% вредоносных образов Docker на Docker Hub добывают XMR. Почему именно Monero? Потому что алгоритм майнинга Monero RandomX работает на обычных процессорах. Ноутбук майнит так же эффективно, как и настольный компьютер. Специального оборудования не требуется. А функции конфиденциальности Monero делают отслеживание денег невозможным. Исследователи подсчитали, что 4,37% всех находящихся в обращении Monero были добыты вредоносным ПО. 58 миллионов долларов украденных вычислительных ресурсов конвертированы в неотслеживаемые монеты.
Причина, по которой хакеры перешли на этот метод с программ-вымогателей, проста. Программы-вымогатели работают громко. Заблокируйте файлы злоумышленника, и он позвонит в ФБР. Откажитесь платить, и злоумышленник ничего не получит. Криптоджекинг работает бесшумно. Он продолжается месяцами, и никто этого не замечает. Полицию никогда не вызывают, потому что жертва не знает, что она стала жертвой. Когда в 2023 году правоохранительные органы начали борьбу с бандами, использующими программы-вымогатели, а санкции OFAC сделали сбор выкупа юридически сложной задачей, злоумышленники изменили свою тактику. В том году компания SonicWall зафиксировала скачок на 659%. Криптоджекинг стал путем наименьшего сопротивления.
Как работает вредоносное ПО для криптоджекинга
Код для майнинга попадает на ваш компьютер тремя способами. Каждый из них выглядит по-разному.
Майнинг через браузер был первопроходческим методом. Вы заходите на сайт. JavaScript на странице запускает майнер Monero внутри вкладки вашего браузера. Ваш процессор работает на пределе возможностей. Вы замечаете, что вкладка тормозит. Закрываете её, и проблема исчезает. Coinhive использовала эту модель с 2017 по 2019 год. Десять миллионов пользователей в месяц сталкивались с тем, что их процессоры перегружались сайтами, которым они доверяли. Когда Monero рухнула на 85%, Coinhive закрылась, и 99% майнинга через браузер прекратился в одночасье. Он не совсем умер. Небольшие скрипты, такие как CoinImp, всё ещё появляются. Но золотая лихорадка закончилась.
Файловые вредоносные программы — это стойкие вредоносные программы. Фишинговые письма. Некачественные загрузки. Вредоносная реклама. Что-то заставляет вас кликнуть. XMRig внедряется в вашу систему, и, по данным Check Point, на него приходится 43% всех известных атак по майнингу криптовалюты. Он устанавливается как фоновая служба, изменяет ваши скрипты автозагрузки, чтобы оставаться активным после перезагрузки, и скрывается за именами вроде "svchost32" или "systemd-helper". Некоторые используют руткиты, поэтому они даже не отображаются в диспетчере задач. Вы перезагружаете систему. Он возвращается. Каждый раз.
Атаки на облачные сервисы — вот где крутятся настоящие деньги. Или, скорее, где приходят настоящие счета. Злоумышленник крадет учетные данные AWS, запускает экземпляры p3.16xlarge с графическими процессорами по цене 24,48 доллара в час и майнит, пока не придет счет. Расчеты ужасающие: за каждый доллар, заработанный хакером в криптовалюте, жертва платит 53 доллара за облачные услуги. USAID потеряло 500 000 долларов на оплате услуг Azure из-за одной утечки данных осенью 2024 года. В 2025 году вредоносное ПО, похожее на червя, начало распространяться из одного контейнера Docker в другой, поражая каждый доступный API. Злоумышленник никогда не входит в систему дважды. Вредоносное ПО делает всю работу.
| Тип атаки | Как это работает | Цель | Типичное время обнаружения |
|---|---|---|---|
| на основе браузера | JavaScript на веб-страницах извлекает данные через ваш браузер. | посетители сайта | Немедленно (при закрытии вкладки) |
| Файловое вредоносное ПО | Фишинг или загрузка устанавливают постоянный майнер | ПК, серверы | от дней до месяцев |
| Облако/контейнер | Украденные учетные данные запускают майнинговые экземпляры. | AWS, Azure, GCP, Docker | Несколько недель (до получения счета) |
| Интернет вещей | Вредоносное ПО заражает маршрутизаторы, камеры и смарт-устройства. | Интернет вещей для дома/бизнеса | Месяцы до никогда |
| ИИ/ГП | Предназначен для кластеров обучения машинного обучения и ферм графических процессоров. | инфраструктура ИИ | Различный |
Ситуация с угрозами криптоджекинга в 2026 году
Цифры от SonicWall наглядно это демонстрируют.
| Год | Обнаружение криптоджекинга | Изменять |
|---|---|---|
| 2020 | 81,9 миллиона | +28% |
| 2021 | 97,1 миллиона | +19% |
| 2022 | 139,3 миллиона | +43% |
| 2023 | 1,06 миллиарда | +659% |
| 2024 | 332 миллиона | Снизился по сравнению с пиком, но всё ещё остаётся повышенным. |
Что стало причиной 2023 года? У банд, занимающихся распространением программ-вымогателей, закончились лёгкие жертвы. Правоохранительные органы стали действовать агрессивно. Жертвы перестали платить. Санкции OFAC превратили сбор выкупа в юридический кошмар. Поэтому те же самые банды перешли на модель, которая вообще не требует никакого взаимодействия с жертвой. Установить майнер. Забрать выкуп молча.
Наиболее пострадавшие сектора: здравоохранение – рост на 700% в 2024 году. Образование пострадало в 320 раз сильнее, чем годом ранее. Государственные учреждения – в 89 раз. В Индии в 2025 году наблюдался скачок на 141%. Устройства IoT подверглись атакам на 97% чаще, потому что маршрутизаторы и камеры легко взломать, и никто никогда не проверяет загрузку их процессора.
Облачные технологии — это джекпот. 23% облачных сред хотя бы раз подвергались атакам. Экономическая ситуация несправедлива: злоумышленник получает выгоду независимо от цены криптовалюты. Он крадет вычислительные ресурсы на сумму в 1 доллар, а жертва платит 53 доллара за использование AWS. Затраты на экземпляр GPU в час, исчисляемые 24,48 долларами, в сумме составляют шестизначную сумму еще до того, как кто-то проверит панель управления.
Телефоны — это новейший рубеж. Количество случаев криптоджекинга на мобильных устройствах выросло на 60% к 2025 году. Ваш телефон перегревается. Батарея разряжается к полудню. Вы вините погоду или последнее обновление iOS. Майнер работает до тех пор, пока вы не сбросите данные с устройства.
Как обнаружить криптоджекинг
На вид ничего не сломано. Файлы в порядке. Пароли работают. Но вентилятор вашего ноутбука уже три недели издает ужасный визг, и вы не знаете почему.
Признаки сначала становятся физическими, а потом цифровыми. Ваш процессор загружен на 90%, пока вы читаете электронную почту. Откройте Диспетчер задач в Windows или Монитор активности на Mac. Если процесс, о котором вы никогда не слышали, потребляет более 70% ресурсов вашего процессора, возможно, у вас запущен майнер. XMRig часто скрывается за именами, которые звучат как настоящие системные службы. Например, «systemd-helper» или «svchost32» там, где их быть не должно.
Перегрев — ещё один признак. Ваш ноутбук обжигает бёдра. Ваш телефон нагревается в кармане, даже когда вы им не пользуетесь. Криптомайнинг постоянно нагружает оборудование. Температура никогда не снижается, потому что майнер никогда не останавливается.
Проверьте свой счет за электроэнергию. Компьютер, взломанный криптоэнтомологом и работающий круглосуточно, добавляет 30-50 долларов в месяц к счету за электричество. Никто не замечает этих 30 долларов, пока не посмотрит на счета за три месяца и не увидит закономерность.
Жертвы использования облачных сервисов узнают об этом, когда приходит счет. AWS или Azure взимают в два или три раза больше. Никто не развертывал новые экземпляры. Никто не запускал дополнительные задания. Но хакер из Румынии две недели назад запустил на вашем аккаунте машины с графическими процессорами, и они майнят круглосуточно. Microsoft задокументировала случаи, когда компании теряли более 300 000 долларов еще до того, как кто-либо проверял счет.
Один сайт постоянно тормозит ваш браузер? Возможно, это скрипт для майнинга. Закройте вкладку, понаблюдайте за загрузкой процессора. Если она вернется к норме, значит, на вашем компьютере выполнялся код с этого сайта.
Мониторинг сети — это профессиональный уровень обнаружения. Майнеры подключаются к майнинговым пулам для отправки результатов хеширования. Это создает закономерность: небольшие, регулярно отправляемые пакеты на определенные IP-адреса. Журналы DNS и инструменты IDS обнаруживают это, если знать, на что обращать внимание.
Как предотвратить криптоджекинг и восстановиться после него
Большая часть этого — банальные правила ИТ-гигиены. Но именно банальные правила ИТ-гигиены предотвращают 90% случаев криптоджекинга.
Обновите своё программное обеспечение. WannaMine использовал уязвимость EternalBlue. Уязвимость Craft CMS CVE-2025-32432 была использована для майнинга криптовалюты в течение нескольких недель после её обнаружения. Исправление существовало. Люди его не применили. Не будьте такими же.
Используйте антивирус, который действительно работает. Windows Defender, CrowdStrike, Kaspersky, Malwarebytes — все они обнаруживают XMRig и его варианты. По крайней мере, «известные» варианты. Совершенно новые проскальзывают, пока база данных сигнатур не обновится. Инструменты EDR дают вам больше шансов, чем базовый антивирус.
Установите расширения для браузера, блокирующие скрипты майнинга. No Coin, MinerBlock. uBlock Origin обнаруживает множество таких скриптов благодаря своим фильтрам блокировки рекламы. Это полностью останавливает криптоджекинг через браузер.
Многофакторная аутентификация (MFA) для каждой учетной записи в облаке. Взлом данных USAID обошелся в 500 000 долларов, потому что в учетной записи администратора тестовой среды не было MFA. Одна атака с использованием перебора паролей. Одна скомпрометированная учетная запись. Полмиллиона долларов счетов Azure. Включите MFA. Настройте оповещения о платежах. Отслеживайте новые экземпляры, которые вы не создавали.
Не предоставляйте доступ к API Docker из интернета. Я знаю, это звучит очевидно. Но люди всё равно это делают. Самораспространяющиеся черви, занимающиеся майнингом, атакуют открытые API Docker Engine и перескакивают из контейнера в контейнер. Сканируйте образы перед развертыванием. Следите за использованием ресурсов Kubernetes.
Уже взломано? Завершите процесс. Выясните, как произошло проникновение: проверьте задания cron, скрипты запуска, запланированные задачи, образы контейнеров. Удалите вредоносное ПО. Устраните уязвимость. Смените все учетные данные. Для облачных сервисов: немедленно завершите работу неавторизованных экземпляров и проведите аудит того, кто имеет доступ к IAM для создания новых.
