Преступная группа работала в течение 2 лет, заразив в общей сложности более 1 млн компьютеров пользователей, получив доход около $2 млн. Чтобы максимизировать доход и увеличить зону распространения хакеры «втемную» использовали агентов-распространителей, не подозревающих про вредоносную начинку ПО, всего было нанято 100 человек.
Злоумышленники имели долгосрочные планы работы, о чем говорит организация скрытого майнинга: не допускалась нагрузка более 50% мощностей CPU жертвы, майнились малоизвестные криптовалюты: Siacoin, Decred, Digibyte.
Отдел компании Tencent, отвечающий за безопасность Wechat обнаружил вредоносный код в плагинах для браузера в январе 2018 года и обратился в полицию. В ходе спецоперации первой была раскрыта группировка, использующая изобретенный майнер-вредонос для оф-лайн заражения компьютеров интернет-кафе.
Злоумышленники были знакомы, но действовали не сообща, преступники напрямую и самостоятельно заражали сервера клиентов под прикрытием своего места работы – сервисного центра по обслуживанию компьютерного оборудования.
В отличие от коллег они действовали крайне неаккуратно, загружая мощности процессора на 80%. Хозяева интернет-кафе сами обратились в полицию, после того, как заподозрили сервисный центр в бездействии, несмотря на неоднократные жалобы.
Первый же арестованный сдал в ходе допросов всю группу из 18 человек, заразивших 100 тыс обслуживаемых компьютеров. Хакеры сервисного центра были недавно осуждены, теперь настал черед непосредственных изобретателей и распространителей скрытого майнера.