Was ist Cryptojacking?
Cryptojacking bezieht sich auf die unerlaubte Nutzung der Computing-Ressourcen einer Person oder eines Unternehmens mit dem Ziel, an Kryptowährung zu gelangen.
Bei Cryptojacking-Programmen kann es sich um Malware handeln, die per Phishing, über infizierte Websites oder andere für Malware-Angriffe übliche Methoden auf dem Computer des Opfers installiert wird. Sie können jedoch auch in Form von Code-Schnipseln vorkommen, die in digitale Anzeigen oder Webseiten eingefügt werden und nur funktionieren, wenn das Opfer eine bestimmte Website besucht.
Was ist das Ziel von Cryptojacking?
Um Kryptowährung zu schürfen (so genanntes „Mining“), ist erhebliche Rechenleistung und damit viel Energie erforderlich. Zwar gibt es zahlreiche legitime Miner von Kryptowährung, die ihre eigene Infrastruktur nutzen, dies ist jedoch mit erheblichen Kosten verbunden. Cyberkriminelle führen deshalb heimlich Cryptomining auf Systemen Dritter durch, um die Kryptowährung zu kassieren, ohne für die damit verbundenen Kosten aufzukommen.
CrowdStrike Global Threat Report 2024: Kurzfassung
Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.
Jetzt herunterladenWie funktioniert Cryptojacking?
Bei einer herkömmlichen bargeldlosen Finanztransaktion sendet ein Händler eine Transaktion an eine Handelsbank, die diese dann an einen Zahlungsverarbeiter sendet, der diese wiederum an eine auszahlende Bank weiterleitet. Dabei überprüfen die verschiedenen Parteien, ob die Transaktion ihren Kriterien entspricht, also ob genügend Geld auf dem Konto vorhanden ist, ob die Transaktion sich im Rahmen des Kreditlimits des Karteninhabers bewegt, ob Transaktionsgebühren anfallen usw. Anschließend wird die Transaktion genehmigt oder abgelehnt.
Bei Blockchains gibt es jedoch keine zentralen „Hauptbücher“ (Ledger), sondern innerhalb der Peer-to-Peer-Netzwerke verteilte Ledger, sodass Transaktionen nicht von einer zentralen Instanz genehmigt oder abgelehnt werden können. Stattdessen wird jede Transaktion verschlüsselt und auf eine Liste mit Transaktionen gesetzt, die später an eine Blockchain angehängt wird. Jede dieser Listen ist ein Block, der noch an bereits vorhandene Blöcke angehängt (mit dem Block „verkettet“) werden muss. Das Hinzufügen von Blöcken zur Blockchain wird als „Mining“ (Schürfen) bezeichnet.
Neue Blöcke müssen verifiziert werden. An dieser Stelle kommt Cryptomining ins Spiel: Um zu verhindern, dass Benutzer das System manipulieren oder Hacker Denial-of-Service-Angriffe durchführen, bedarf es einer Hürde, die das Hinzufügen eines Blocks zu einer Blockchain erschwert. Diese Hürde entspricht einer willkürlichen mathematischen Gleichung, die zuerst gelöst werden muss, damit ein Block validiert und zur Blockchain hinzugefügt werden kann. Der erste Cryptominer, der eine solche Gleichung löst, erhält die Kryptowährung.
Einige Kryptowährungen lassen sich einfacher schürfen als andere – und auf diese haben es Hacker bevorzugt abgesehen. Monero kann beispielsweise auf jedem Desktop, Laptop oder Server geschürft werden, während für Bitcoin teure Spezialhardware erforderlich ist. Mining kann auch auf einem Mobilgerät, IoT-Gerät oder Router durchgeführt werden.
Cryptominer kombinieren ihre Cryptojacking-Malware manchmal auch mit anderen Malware-Arten wie Ransomware. Wenn ein Benutzer auf einen schädlichen Link klickt oder eine infizierte Datei öffnet, werden zwei Programme heruntergeladen: ein Cryptojacking-Programm und ein Ransomware-Programm. Der Angreifer wertet das Zielsystem basierend auf der Software- und Hardwarekonfiguration sowie dem Malware-Schutz aus und entscheidet dann, ob ein Cryptojacking- oder ein Ransomware-Angriff lukrativer wäre.
Manchmal installiert der Cryptojacker auch gar kein Programm. Es genügt, einen Abschnitt eines Cryptomining-Codes in eine Website, ein WordPress-Plug-in oder eine Anzeige einzubetten, um diesen dann automatisch im Browser des Besuchers auszuführen.
Eine andere Art von Cryptojacking-Angriff findet in der Cloud statt. Der Angreifer stiehlt zuerst Anmeldedaten und installiert anschließend seine Skripts in der Cloud-Umgebung.
Folgen von Cryptojacking
Die Folgen eines Cryptojacking-Angriffs für einen einzelnen Benutzer, der seinen Laptop für private Zwecke nutzt, sind ein langsamer Computer und eine höhere Stromrechnung. Groß angelegtes Cryptomining hingegen, das sich gegen Unternehmen richtet, kann erhebliche Schäden anrichten. Die geringere Leistungsfähigkeit drosselt die Produktivität, Systemabstürze und Ausfallzeiten führen zu Umsatzverlusten sowie Reputationsschäden und High-End-Hochleistungsserver werden zu kostspieligen, aber trägen Systemen. Auch die Betriebskosten schnellen in die Höhe, da die Ressourcen des Unternehmens von den Cryptominern belegt werden.
Zudem ist das Vorhandensein von Cryptomining-Software im Netzwerk oft ein Zeichen dafür, dass ein schwerwiegenderes Cybersicherheitsproblem vorliegt: Wenn es einem Hacker gelingt, Cryptojacking-Software an der Abwehr des Unternehmens vorbeizuschleusen, kann er auch anderen Schadcode in die Umgebung einschleusen.
Beispiele für Cryptojacking
Coinhive
Coinhive gibt es zwar nicht mehr, der Miner spielte jedoch für den Anstieg der Cryptojacking-Bedrohung eine wesentliche Rolle. Er wurde über einen Webbrowser ausgeführt und lud eine JavaScript-Datei auf die Seiten der Benutzer. Coinhive war der Spitzenreiter unter den Cryptojacking-Skripts, bis die Betreiber es aufgrund der rückläufigen Hashrate infolge einer Monero-Fork einstellten. Parallel dazu ging der Markt für Kryptowährung zurück, sodass auch Cryptojacking weniger lukrativ wurde.
WannaMine v4.0
WannaMine v4.0 und seine Vorgänger verwenden den EternalBlue-Exploit, um Hosts zu kompromittieren. Die Binärdateien des EternalBlue-Exploits werden unter C:Windows in einem Verzeichnis namens „Network Distribution“ abgelegt. Diese WannaMine-Variante generiert basierend auf einer Liste festkodierter Zeichenfolgen willkürlich eine DLL-Datei und einen Dienstnamen. Dadurch wird die Persistenz auf dem Host gesichert.
BadShell
BadShell ist dateilose Malware, die nicht mit einem Download einhergeht. Stattdessen werden Windows-Prozesse wie PowerShell, Aufgabenplanung und Registrierung verwendet, was die Erkennung besonders schwierig macht.
Graboid
Graboid ist ein Cryptojacking-Wurm, der mithilfe von Docker Engine (Community Edition)-Containern verbreitet wird. Er wird von herkömmlichen Endgeräteschutzlösungen übersehen, da diese keine Aktivitäten innerhalb von Containern überprüfen.
PowerGhost
PowerGhost ist ein weiteres dateiloses Malware-Skript, das systemeigene Windows-Tools missbräuchlich verwendet, um Workstations und Server in Unternehmensnetzwerken zu infizieren. Über Tools oder Exploits für Fernzugriff fasst es in der Umgebung Fuß.
FacexWorm
FacexWorm setzt auf Social-Engineering, um Facebook Messenger-Benutzer dazu zu verleiten, auf einen gefälschten YouTube-Link zu klicken. Die Fake-Website fordert den Benutzer auf, eine Chrome-Erweiterung herunterzuladen, um angeblich den Inhalt anzuzeigen. Tatsächlich aber greift die Erweiterung auf die Facebook-Konten der Opfer zu und verbreitet den Link über die Freundesliste. FacexWorm kann allerdings noch mehr, als die Systeme von Benutzern zu kapern, um an Kryptowährung gelangen. So fängt der Wurm etwa Anmeldedaten ab, wenn Benutzer versuchen, sich bei Websites wie Google und MyMonero anzumelden. Benutzer, die im Begriff sind, sich bei einer echten Plattform für den Umtausch von Kryptowährung anzumelden, werden mitunter auf gefälschte Websites umgeleitet, die dann einen kleineren Betrag in Kryptowährung für die Identitätsprüfung verlangen, oder die Benutzer werden auf andere schädlichen Websites umgeleitet.
Black-T
Black-T richtet sich gegen Kunden von AWS und verwendet dazu ungeschützte Docker daemon-APIs. Die Malware ist außerdem in der Lage, andere kompromittierte Docker daemon-APIs mithilfe von Scanning-Tools zu identifizieren und ihre Cryptojacking-Operationen auf diese Weise zu erweitern.
Wie können Sie sich vor Cryptojacking schützen?
Herausforderungen
Für Sicherheitsteams mit begrenzten Ressourcen und wenig Einblick in die Umgebung ist es besonders schwierig, Cryptojacking die Stirn zu bieten. Folgendes gilt es zu bewältigen:
- Ereignisse identifizieren und den Angriffsvektor erkennen. Die verstärkte Nutzung legitimer Tools und dateiloser Angriffe erschwert diesen Schritt.
- Aktive Sicherheitsverletzungen stoppen und Systeme schnell reparieren. Bei einem Zwischenfall müssen Sicherheitsteams diesen unverzüglich stoppen und die betroffenen Systeme möglichst schnell reparieren. Dies erfordert oft manuelle Untersuchungen und das Re-Imaging von Computern, beides sehr ressourcenintensive Aufgaben.
- Aus Angriffen lernen und Sicherheitslücken schließen. Nach einem Zwischenfall müssen Sicherheitsteams genau nachvollziehen, was geschehen ist, und sicherstellen, dass sich das Ereignis nicht wiederholt.
Hinweise
Cryptojacking bedroht die Produktivität und Sicherheit von Unternehmen. Diese haben folgende Möglichkeiten, dieses Risiko einzudämmen:
- Befolgen strikter Sicherheitsverfahren: IT-Hygiene ist eine unverzichtbare Voraussetzung für Sicherheit. Das regelmäßige Patchen anfälliger Anwendungen und Betriebssysteme sowie das Schützen privilegierter Benutzerkonten sind wesentliche Maßnahmen für eine optimale Sicherheitsverwaltung.
- Bereitstellen einer Endgeräteschutz-Plattform (EPP) der nächsten Generation: Unternehmen müssen in der Lage sein, alle Bedrohungen (einschließlich bekannter und unbekannter Malware) zu erkennen und zu verhindern sowie speicherbasierte Angriffe zu identifizieren. Dazu ist eine Lösung erforderlich, die Virenschutz der nächsten Generation (NGAV) und endpunktbasierte Detektion und Reaktion (EDR) beinhaltet. Damit lassen sich Angriffe verhindern und Unternehmen erhalten umfassenden Einblick in die gesamte Umgebung.
Laut Gartner ist für wirksamen Endgeräteschutz vor Bedrohungen eine Lösung erforderlich, die über NGAV- und EDR-Funktionen verfügt. Die CrowdStrike Falcon-Plattform ist eine EPP-Lösung der nächsten Generation, die darauf ausgerichtet ist, verborgene verhaltensbezogene Angriffsindikatoren (IOAs) unabhängig davon zu erkennen, ob die Malware sich auf die Festplatte schreibt oder im Speicher ausgeführt wird.