Cryptojacking

Wie mit Malware Cryptomining betrieben wird

Von in IT-Sicherheit
27
Jun
'19

Cryptomining ist ein Verfahren zur Verifizierung von Kryptowährungen wie Bitcoin. Das Problem: Cyberkriminelle zapfen immer mehr Privatrechner oder Firmennetzwerke an, um über diese zu „minen“. Dieses Vorgehen ist unter dem Namen Cryptojacking bekannt.

Wie das Cryptojacking funktioniert und wie Sie sich davor schützen, erfahren Sie hier.

Beim Cryptojacking werden Ihre IT-Systeme unbemerkt dafür missbraucht, Kryptowährungen zu schürfen. (Bild: pixabay.com/3dman_eu)

Beim Cryptojacking werden Ihre IT-Systeme unbemerkt dafür missbraucht, Kryptowährungen zu schürfen. (Bild: pixabay.com/3dman_eu)

Cryptojacking basiert auf Cryptomining

Als Cybermining ist grob übersetzt das „Schürfen“ nach Einheiten einer bestimmten Kryptowährung – sogenannten Coins – zu verstehen. Es ist aufgrund der Kosten durch den zunehmend steigenden Stromverbrauch und wegen der unzähligen Personen und Institutionen, die diese Methode aktiv nutzen, mittlerweile jedoch meistens kaum oder gar nicht rentabel.

Cryptojacking, abgeleitet aus den englischen Begriffen „Cryptocurrency“ für Kryptowährung und „Hijacking“ für Entführung, bezeichnet die unautorisierte Nutzung von fremden Computersystemen und IT-Infrastrukturen für das eigene Cybermining. Durch das Cryptojacking sind Cyberkriminelle also in der Lage, im großen Rahmen Coins zu schürfen, ohne die dafür nötigen Betriebskosten selbstständig aufbringen zu müssen. Sprich: Die befallenen IT-Systeme arbeiten für die Angreifer. Häufig bleibt das auch noch unbemerkt.

Besonders IoT-Geräte sind aufgrund ihrer starken Vernetzung und verhältnismäßig hohen Rechenleistung beliebte Ziele für Cryptojacking. Und sogar die Infizierung von leistungsstarken Smartphones rentiert sich für Miner, denn häufig sind die infizierten Systeme zu einem gigantischen Botnetz verbunden. Unter Botnetz versteht man hierbei einen Zusammenschluss von Geräten, die sich über einen zentralen Command-and-Controll-Server fernsteuern lassen.

Was ist Cryptojacking und wie funktioniert es?

In der Öffentlichkeit ist Cryptomining vor allem durch Cryptojacking bekannt geworden. Vielfach nutzen es nämlich Kriminelle und setzen es gezielt gegen Einzelpersonen und Unternehmen ein. Cryptojacking kann dabei auf verschiedene Weise betrieben werden. Grob lässt sich das Vorgehen in zwei bzw. drei Kategorien gliedern. Alle Arten des Cryptojacking erfreuen sich bei Cyberkriminellen heute großer Beliebtheit und werden immer häufiger von ihnen eingesetzt.

Temporäres Cryptojacking

Mit Ihrem System kann über einen bestimmten Zeitraum hinweg – beispielsweise solange Sie eine Website besuchen oder wenn Sie eine bestimmte Applikation nutzen – Cryptomining betrieben werden. Bereits seit einiger Zeit werden Skripte, mit denen Coins geschürft werden, als Ergänzung oder Ersatz zu Pop-up- und Bannerwerbung eingesetzt. Als freiwillige Alternative mit ausdrücklicher Einwilligung des Betroffenen – einem Opt-in – ist das komplett legitim.

Die meisten Websites, die Cryptomining als Alternative oder Zusatz zu herkömmlicher Werbung nutzen, verzichten jedoch auf die Einwilligung. Heute finden sich Mining-Skripte vor allem auf Pornoseiten und Filesharing-Portalen. Aber auch auf der Homepage von Cristiano Ronaldo, dem US-Sender CBS oder Showtime sowie weiteren seriösen Seiten wurden entsprechende Skripte entdeckt.

Die meisten dieser Internetseiten nutzten dafür bis vor Kurzem das Javascript Coinhive. Es wurde mittlerweile zwar vom Markt genommen, doch es haben sich inzwischen einige Alternativen verbreitet.

Drive-by-Cryptojacking

Eine Sonderform des temporären Cryptojacking ist das sogenannte Drive-by-Cryptojacking. Hierbei schürfen Cyberkriminelle nicht nur Coins, während Sie entsprechende Seiten besuchen, sondern ein (z.B. hinter der Startleiste) verstecktes, persistentes Pop-up-Fenster bleibt auch nach dem Schließen der Website oder des gesamten Browsers bestehen. Im Gegensatz zum Drive-by-Download fordert Drive-by-Cryptomining jedoch keine auf dem System installierte Schadsoftware; vielmehr weist ein Skript die Wirkungsmechanismen solcher auf. Normalerweise endet der Schürfprozess bei einem Neustart.

Kontinuierliches Cryptojacking

Angreifer können aber auch Malware auf Ihre Systeme schleusen, mit der im Hintergrund Cryptomining betrieben wird. Immer mehr Malware-Familien sind sogar darauf spezialisiert, auf infizierten Computer- und Serversystemen Coins zu schürfen. Große Botnets wie Smominru bestehen aus hunderttausenden Bots und betreiben mit allen befallenen Systemen Cryptomining. Die Malware gelangt meistens durch perfide Social-Engineering-Methoden auf ein System und verbreitet sich über das Netzwerk weiter. Betrüger verstecken die Schadsoftware vor allem im Anhang von E-Mails. Auch JavaScript-Ads sind beliebte Mittel, um entsprechende Software auf fremde Systeme zu schleusen.

Wie verbreitet ist Cryptojacking?

Obgleich das Phänomen Cryptojacking noch relativ jung ist, zählt es schon zu den weltweit am häufigsten auftretenden Cyberbedrohungen. In einem Artikel der US-Zeitschrift Fortune wird sogar behauptet, dass es seit 2017 die gefährlichste digitale Sicherheitsbedrohung ist. Cryptomining verdrängt hierbei den bisherigen Platzhalter, die Ransomware, von der Spitzenposition. Das Mining bringt im Regelfall über längere Zeit deutlich mehr Geld ein – vor allem im Hinblick darauf, dass viele Opfer von Ransomware das geforderte Lösegeld nicht zahlen oder es zumindest bei einer einmaligen Zahlung bleibt.

Die Cryptominer halten sich außerdem so gut versteckt, dass sie von kaum einem Antivirenprogramm entdeckt und generell nicht häufig erkannt werden. Denn wenn Systeme beispielsweise etwas langsamer werden, drängt sich der Verdacht eines Schadsoftwarebefalls nicht unbedingt als erstes auf.

Man kann also festhalten: Cryptojacking ist zum einen risikoärmer, zum anderen kosteneffizienter als Ransomware. Bereits 2017 haben Cyberkriminelle mit einer halbjährigen Cryptomining-Kampagne mehr als sieben Millionen Dollar gescheffelt.

Während Sie am Computer arbeiten, nutzen andere seine Rechenleistung, um mit ihm kontinuierlich Geld zu machen. (Bild: pixabay.com/the-design_org)

Während Sie am Computer arbeiten, nutzen andere seine Rechenleistung, um mit ihm kontinuierlich Geld zu machen. (Bild: pixabay.com/the-design_org)

Cryptojacking – Gefahr für Unternehmen

Insbesondere wird das Cryptojacking dann lukrativ, wenn es Angreifern gelingt, gigantische Botnetze aufzubauen und auf ganzheitliche IT-Infrastrukturen von Unternehmen oder große Serverfarmen zuzugreifen. Unter anderem Tesla und Gemalto waren bereits infiziert.

Gerade weil Unternehmen beliebte Ziele für Cryptojacking darstellen, sollten sich alle Unternehmen effektiv davor schützen. Durch Cryptomining in Unternehmen können nämlich nicht nur extrem hohe Stromkosten entstehen, sondern auch Arbeitskosten, Wartungs- und Reparaturkosten anfallen. Die Gefahr besteht, dass Sie aufgrund der bereits verbrauchten Kapazitäten womöglich wichtige wirtschaftliche Angebote nicht wahrnehmen bzw. nicht fristgerecht bearbeiten können.

Wenn Ihre IT-Infrastruktur für das Cryptomining missbraucht wird, teilen Sie sich all Ihre Ressourcen mit den Angreifern; die Kosten bleiben aber bei Ihnen. Sie sollten daher, sobald Sie die ersten Anzeichen einer möglichen Infizierung feststellen, sofort handeln und einen IT-Dienstleister des IT-SERVICE.NETWORK konsultieren.

Lässt sich ein Befall entdecken?

Eine der größten Tücken von Cryptojacking ist, dass es sich im Hintergrund abspielt und häufig längere Zeit unbemerkt bleibt – auch für die meiste Antivirensoftware. Professionell erstellte Schadsoftware ist darauf ausgelegt, sich unauffällig zu verhalten und nicht die vollständigen Systemressourcen zu nutzen.

Das kontinuierliche Cryptojacking schadet jedoch erheblich: Die Lebenszeit Ihres Geräts verkürzt sich durch das Mining deutlich und seine Arbeitseffizienz lässt zu wünschen übrig. Der Trojaner belastet nahezu durchgehend die CPU. Andere, zum Teil wichtige Firmensoftware, wird aufgrund der Auslastung der Rechenressourcen nicht mehr richtig ausgeführt.

Wenn es in Ihrem System zu plötzlichen Performance-Einbrüchen kommt, es träge wird, eine hohe CPU-Auslastung aufweist oder Ihre Ventilatoren auf Hochtouren laufen, dann könnten dies Zeichen dafür sein, dass Sie Cryptojacking zum Opfer gefallen sind. Das kann aber ohne Weiteres nicht genau gesagt werden.

Wie Sie sich erfolgreich schützen

Fundamental bei der Erkennung von Cryptominern ist die Früherkennung von normalerweise anhaltenden CPU-Lastspitzen abseits des Normbereichs. Informieren Sie Ihre IT-Abteilung, Ihren Administrator oder einen regionalen IT-Dienstleister, sobald die CPU-Auslastung einen Schwellenwert überschreitet. Unternehmen sollten neben dem CPU-Verbrauch zudem auch den Stromverbrauch von Computer- und Netzwerksystemen genau beobachten und auf Anomalien achten.

Nutzen Sie das Desktop und Server Management, um ungewöhnliches Verhalten Ihrer Systeme stets sofort mitzubekommen. Ein über die standardisierten Antivirenlösungen hinausgehendes Anti-Virus-Management ist zudem in der Lage, Dateien wie Dropper sofort zu identifizieren und auch die meisten einfachen Cryptomining-Skripte frühzeitig zu erkennen. Mit einem sicheren Gateway schützen Sie Ihre Browser, indem Sie bösartige Websites und Malware direkt blockieren; optimalerweise sollten Skripte auf unbekannten Websites standardisiert deaktiviert sein. Da Cyberkriminelle die meiste Malware per E-Mail verschicken, sollten Sie zudem einen umfassenden E-Mail-Schutz integrieren.

Robin Laufenburg

Robin Laufenburg unterstützt seit 2018 den Blog des IT-SERVICE.NETWORK als Werkstudent. Neben seiner Arbeit als SEO-Texter studiert er Germanistik im Master. Auch in seiner Freizeit schreibt Robin Texte und tritt damit bei Poetry Slams auf.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.