Kryptojacking er en ondsindet aktivitet, hvor en inficeret enhed bruges til hemmeligt at mine kryptovalutaer. For at gøre dette gør angriberen brug af ofrenes processorkraft og båndbredde (i de fleste tilfælde sker dette uden, at ofrene er klar over det eller uden deres samtykke).
Generelt er den kryptomining-malware, der er ansvarlig for sådanne ondsindede aktiviteter, designet til at bruge tilstrækkelig mange systemressourcer til at forblive ubemærket så længe som muligt.
Eftersom mining af kryptovalutaer kræver masser af processorkraft, forsøger angribere at bryde ind på flere enheder. På denne måde kan de samle tilstrækkelige computerressourcer til at udføre mining med lav risiko og lave omkostninger.
Tidligere versioner af mining-malware var afhængige af, at ofrene klikkede på ondsindede links eller vedhæftede e-mails og ved et uheld inficerede deres system med en skjult krypto-miner.
Der er imidlertid blevet udviklet mere sofistikerede typer af denne malware i de sidste par år, hvilket har bragt kryptojacking til et helt nyt niveau.
I øjeblikket kører størstedelen af mining-malware via scripts, der er implementeret på websites. Denne fremgangsmåde er kendt som webbaseret kryptojacking.
Webbaseret kryptojacking
Webbaseret kryptojacking (også kendt som drive-by-kryptomining) er den mest almindelige form for kryptomining-malware. Typisk udføres denne ondsindede aktivitet via scripts, der kører på et website, så offerets browser automatisk miner kryptovalutaer i løbet af besøget. Sådanne webbaserede minere bliver i hemmelighed implementeret på en lang række websites, uanset popularitet eller kategori.
I de fleste tilfælde er Monero den foretrukne kryptovaluta, da miningprocessen ikke kræver store mængder ressourcer og processorkraft, som bitcoin-mining gør. Desuden giver Monero øget beskyttelse af personlige oplysninger og anonymitet, hvilket gør det meget sværere at spore transaktioner.
I modsætning til ransomware bringer kryptomining-malware sjældent computeren og de data, der er gemt på den, i fare. Den mest mærkbare effekt af kryptojacking er den reducerede CPU-ydelse (normalt ledsaget af en stigning i støjen fra blæseren). For virksomheder og større organisationer kan den reducerede CPU-ydelse imidlertid hæmme deres arbejde og potentielt resultere i betydelige tab og tabte muligheder.
CoinHive
Den webbaserede tilgang til kryptojacking blev første gang set i september 2017, da en kryptominer kaldet CoinHive officielt blev frigivet til offentligheden. CoinHive består af en JavaScript-kryptominer, der angiveligt blev oprettet for at tjene en ædel sag: at give ejere af websites mulighed for at tjene penge på deres frit tilgængelige indhold uden at være afhængige af ubehagelige reklamer.
CoinHive er kompatibel med alle større browsere og er relativt nem at implementere. Skaberne beholder 30 % af alle kryptovalutaer, der mines gennem deres kode. Den gør brug af kryptografiske nøgler til at identificere, hvilken brugerkonto der skal modtage de øvrige 70 %.
På trods af at CoinHive oprindeligt blev præsenteret som et interessant værktøj, modtog CoinHive masser af kritik på grund af det faktum, at det nu bruges af cyberkriminelle til ondsindet at injicere mineren i flere hackede websites (uden ejerens viden eller tilladelse).
I de få tilfælde, hvor CoinHive bevidst er implementeret, er JavaScriptet for kryptojacking konfigureret som en tilvalgsmulighed kaldet AuthedMine, som er en modificeret version af CoinHive, der kun starter mining efter at have modtaget den besøgendes samtykke.
Det er ikke overraskende, at AuthedMine ikke er blevet indført i samme omfang som CoinHive. En hurtig søgning på PublicWWWW viser, at mindst 6.400 websites kører CoinHive (hvoraf 2.810 er WordPress-sider). På den anden side blev AuthedMine implementeret af ca. 550 websites.
I første halvår af 2018 blev CoinHive den største malwaretrussel, som antivirusprogrammer og cybersikkerhedsvirksomheder har registreret. Nylige rapporter viser imidlertid, at kryptojacking ikke længere er den mest udbredte trussel, da første- og andenpladsen nu indtages af banktrojanere og ransomware-angreb.
Den hurtige opgang og nedgang for kryptojacking kan være relateret til cybersikkerhedsvirksomhedernes arbejde, da mange kryptojackingkoder nu er sortlistet og hurtigt opdages af de fleste antivirusprogrammer. Desuden tyder de seneste analyser på, at webbaseret kryptojacking ikke er så rentabelt, som det ser ud til.
Eksempler på kryptojacking
I december 2017 blev CoinHive-koden implementeret i stilhed i WiFi-netværket i flere Starbucks-butikker i Buenos Aires, som rapporteret af en kunde. Scriptet minede Monero gennem processorkraften på enhver enhed, der var tilsluttet den.
I begyndelsen af 2018 blev det konstateret, at CoinHive-mineren kørte på YouTube-annoncer via Googles DoubleClick-platform.
I juli og august 2018 inficerede et kryptojackingangreb over 200.000 MikroTik-routere i Brasilien og injicerede CoinHive-kode i en massiv mængde webtrafik.
Hvordan opdages og forhindres kryptojackingangreb?
Hvis du har mistanke om, at din CPU bruges mere end normalt, og at dens køleblæsere larmer uden nogen åbenlys grund, er der stor sandsynlighed for, at din enhed bruges til kryptomining. Det er vigtigt at finde ud af, om din computer er inficeret, eller om kryptojacking udføres af din browser.
Mens webbaseret kryptojacking er relativt let at opdage og stoppe, er det ikke altid let at opdage miningmalware, der er rettet mod computersystemer og netværk, da de normalt er designet til at være skjult eller maskeret som noget legitimt.
Der findes browserudvidelser, som effektivt kan forhindre de fleste webbaserede kryptojackingangreb. Ud over at være begrænset til webbaserede minere er disse modforanstaltninger normalt baseret på en statisk sortliste, som hurtigt kan blive forældet, efterhånden som nye metoder til kryptojacking bliver implementeret. Derfor anbefales det også at holde dit operativsystem og din antivirussoftware opdateret.
Når det drejer sig om virksomheder og større organisationer, er det vigtigt at informere og uddanne medarbejderne om kryptojacking og phishing-teknikker såsom falske e-mails og falske websites.
Sammenfatning
Vær opmærksom på din enheds ydeevne og CPU-aktivitet.
Installer udvidelser til webbrowsere, såsom MinerBlock, NoCoin og Adblocker.
Vær forsigtig med vedhæftede filer og links i e-mails.
Installer et troværdigt antivirusprogram, og hold dine softwareprogrammer og dit operativsystem opdaterede.
For virksomheder: Undervis medarbejderne om kryptojacking og phishing-teknikker.