Ein Kryptojacking ist eine bösartige Aktivität, bei der ein infiziertes Gerät verwendet wird, um heimlich nach Kryptowährungen zu minen. Dazu nutzt der Angreifer die Rechenleistung und Bandbreite der Opfer (in den meisten Fällen geschieht dies ohne deren Bewusstsein oder Zustimmung). Im Allgemeinen ist die für solche bösartigen Aktivitäten verantwortliche Kryptomining-Malware so konzipiert, dass sie gerade genug Systemressourcen verbraucht, um so lange wie möglich unbemerkt zu bleiben. Da Mining viel Rechenleistung erfordert, versuchen Angreifer in mehrere Geräte einzudringen. Auf diese Weise sind sie in der Lage genügend Rechenressourcen zu sammeln, um mit geringem Risiko und niedrigen Kosten zu minen.
Frühere Versionen von Mining-Malware waren darauf angewiesen, dass die Opfer auf bösartige Links oder E-Mail-Anhänge klicken und ihr System versehentlich mit einem versteckten Kryptominer infizieren. In den letzten Jahren wurden jedoch ausgefeiltere Arten dieser Malware entwickelt, die den Kryptojacking-Ansatz auf eine ganz neue Ebene heben. Derzeit läuft die Mehrheit der Mining-Malware über Skripte, die in Websites implementiert werden. Dieser Ansatz wird als webbasiertes Kryptojacking bezeichnet.
Webbasiertes Kryptojacking
Webbasiertes Kryptojacking (auch bekannt als Drive-by-Kryptomining) ist die häufigste Form der Kryptomining-Malware. Normalerweise wird diese bösartige Aktivität durch Skripte ausgeführt, die innerhalb einer Website implementiert sind, so dass der Browser des Opfers während der Dauer des Besuchs automatisch nach Kryptowährungen minen kann. Solche webbasierten Miner werden heimlich auf einer Vielzahl von Websites eingesetzt, unabhängig von Popularität oder Kategorie. In den meisten Fällen ist Monero die Kryptowährung der Wahl, da der Mining-Prozess keine großen Mengen an Ressourcen und Rechenleistung benötigt, wie es Bitcoin Mining tut. Darüber hinaus bietet Monero ein höheres Maß an Privatsphäre und Anonymität, was die Auffindbarkeit von Transaktionen erheblich erschwert.
Im Gegensatz zu Ransomware gefährdet Kryptomining-Malware selten den Computer und die darin gespeicherten Daten. Der auffälligste Effekt von Kryptojacking ist die verminderte CPU-Leistung (meist begleitet von einem Anstieg des Lüfterrauschens). Für Unternehmen und größere Organisationen kann die verminderte CPU-Leistung jedoch ihre Arbeit beeinträchtigen, was zu erheblichen Verlusten und verpassten Chancen führen kann.
CoinHive
Der webbasierte Ansatz für Kryptojacking wurde erstmals im September 2017 vorgestellt, als ein Krypto-Miner namens CoinHive offiziell der Öffentlichkeit vorgestellt wurde. CoinHive besteht aus einem JavaScript-Crypto-Miner, der angeblich für einen noblen Zweck entwickelt wurde: den Website-Besitzern zu ermöglichen, ihre frei verfügbaren Inhalte zu monetarisieren, ohne sich auf unangenehme Werbung zu verlassen.
CoinHive ist mit allen gängigen Browsern kompatibel und relativ einfach zu installieren. Die Schöpfer halten 30% aller Kryptowährungen die durch ihren Code gemined werden. CoinHive verwendet kryptographische Schlüssel, um festzustellen, welches Benutzerkonto die restlichen 70% erhalten soll.
Obwohl CoinHive zunächst als interessantes Werkzeug präsentiert wurde, erhielt es viel Kritik, da es nun von Cyberkriminellen benutzt wird, um den Miner böswillig in mehrere gehackte Websites zu injizieren (ohne Wissen oder Erlaubnis des Besitzers).
In den wenigen Fällen, in denen CoinHive gewollt eingesetzt wird, ist das Kryptojacking-Skript als Opt-In-Version namens AuthedMine konfiguriert, eine modifizierte Version von CoinHive, die erst nach Zustimmung des Besuchers mit dem Mining beginnt.
Es ist kein Wunder, dass die AuthedMine nicht in der gleichen Größenordnung wie CoinHive Adaption findet. Eine Schnellsuche auf PublicWWWW zeigt, dass mindestens 14.900 Webseiten CoinHive betreiben (davon 5.700 WordPress Webseiten). AuthedMine hingegen wurde auf rund 1.250 Seiten implementiert.
In der ersten Jahreshälfte 2018 war CoinHive die wichtigste Malware-Bedrohung, die von Antivirenprogrammen und Cybersicherheitsfirmen verfolgt wurde. Neuere Berichte deuten jedoch darauf hin, dass Kryptojacking nicht mehr die häufigste Bedrohung ist, da die erste und zweite Position nun von Banking-Trojanern und Ransomware-Angriffen eingenommen wird.
Der schnelle Aufstieg und Fall von Kryptojacking kann mit der Arbeit von Cybersicherheitsfirmen zusammenhängen, da viele Kryptojacking-Codes jetzt auf der schwarzen Liste stehen und von den meisten Antivirenprogrammen schnell erkannt werden. Darüber hinaus deuten aktuelle Analysen darauf hin, dass webbasiertes Kryptojacking nicht so profitabel ist, wie es scheint.
Beispiele für Cryptojacking
Im Dezember 2017 wurde der CoinHive-Code stillschweigend in das WiFi-Netzwerk mehrerer Starbucks-Stores in Buenos Aires implementiert, wie ein Kunde berichtete. Das Skript hat durch die Rechenleistung eines jeden Geräts, das mit ihm verbunden war, Monero gemined.
Anfang 2018 wurde festgestellt, dass der CoinHive Miner über die DoubleClick-Plattform von Google auf YouTube Ads lief.
Im Juli und August 2018 infizierte ein Kryptojacking- Angriff über 200.000 MikroTik-Router in Brasilien und injizierte CoinHive-Code in eine massive Menge von Web-Traffic.
Wie kann man Kryptojacking-Angriffe erkennen und verhindern?
Wenn du vermutest, dass deine CPU mehr als normal genutzt wird und deine Kühlerlüfter ohne ersichtlichen Grund ein Rauschen erzeugen, besteht die Möglichkeit, dass dein Gerät für Kryptomining verwendet wird. Es ist wichtig herauszufinden, ob dein Computer infiziert ist oder ob das Kryptojacking von Ihrem Browser ausgeführt wird. Während webbasiertes Kryptojacking relativ einfach zu entdecken und zu stoppen ist, ist die Mining-Malware, die auf Computersysteme und Netzwerke abzielt, nicht immer leicht zu erkennen, da diese meist so konzipiert werden, dass sie versteckt oder als etwas Legitimes maskiert sind.
Es gibt Browser-Erweiterungen, die in der Lage sind, die meisten webbasierten Kryptojacking-Angriffe effektiv zu verhindern. Neben der Beschränkung auf webbasierte Miner, ist ein weiteres Problem, dass diese Gegenmaßnahmen in der Regel auf einer statischen Blacklist basieren, die mit dem Einsatz neuer Kryptojacking-Ansätze schnell veraltet werden kann. Es wird daher auch empfohlen das Betriebssystem zusammen mit einer aktualisierten Antivirensoftware auf dem neuesten Stand zu halten.
Wenn es um Unternehmen und größere Organisationen geht, ist es wichtig Mitarbeiter über Kryptojacking und Phishing-Techniken wie betrügerische E-Mails und gefälschte Websites zu informieren und aufzuklären.
Zusammenfassend:
Achte auf die Leistung deines Geräts und die CPU-Aktivität;
Installiere Webbrowser-Erweiterungen wie MinerBlock, NoCoin und Adblocker;
Sei vorsichtig mit E-Mail-Anhängen und Links.
Installiere ein vertrauenswürdiges Antivirusprogramm und halte deine Softwareanwendungen und dein Betriebssystem auf dem neuesten Stand;
Für Unternehmen: Unterrichten Sie Ihre Mitarbeiter über Kryptojacking- und Phishing-Techniken.