Kryptokapring er en ondsinnet aktivitet der en infisert enhet brukes til skjult mining av kryptovalutaer. For å gjøre det bruker angriperen ofrenes prosessorkraft og båndbredde (i de fleste tilfeller gjøres dette uten at de vet eller har godtatt det).
Generelt er den skadelige programvaren for kryptomining som står bak slike ondsinnede aktiviteter, designet for å bruke akkurat nok systemressurser til å holde seg skjult så lenge som mulig.
Ettersom mining av kryptovaluta krever mye prosessorkraft, prøver angriperne å få kontroll over flere enheter. På denne måten kan de samle nok dataressurser til å utføre mining med lav risiko og lav kostnad.
Tidligere versjoner av skadelig programvare for mining var avhengig av at ofrene klikket på ondsinnede lenker eller e-postvedlegg, og på den måten ved et uhell infiserte systemet med en skjult kryptominer.
Men mer avanserte typer av slik skadelig programvare har blitt utviklet de siste par årene, og disse tar kryptokapringen til et helt nytt nivå.
For øyeblikket kjøres det meste av slik skadelig programvare for mining gjennom skript som er implementert på nettsteder. Denne metoden er kjent som nettbasert kryptokapring.
Nettbasert kryptokapring
Nettbasert kryptokapring (eller: «cryptojacking», «drive-by cryptomining») er den vanligste formen for skadelig programvare for kryptomining. Vanligvis utføres denne ondsinnede aktiviteten gjennom skript som kjører på et nettsted, slik at offerets nettleser automatisk kan drive mining etter kryptovaluta så lenge besøket varer. Slike nettbaserte minere blir i hemmelighet implementert på mange nettsteder, uavhengig av popularitet eller kategori.
I de fleste tilfeller er Monero den foretrukne kryptovalutaen, fordi denne mining-prosessen ikke krever store mengder ressurser og prosessorkraft slik Bitcoin-mining gjør. I tillegg gir Monero økt personvern og anonymitet, noe som gjør transaksjonene mye vanskeligere å spore opp.
I motsetning til løsepengevirus er det sjelden at skadelig programvare for kryptomining setter datamaskinen og dataene på den i fare. Den mest merkbare effekten av kryptokapring er redusert CPU-ytelse (vanligvis etterfulgt av mer viftestøy). Men for bedrifter og større organisasjoner kan den reduserte CPU-ytelsen gå ut over arbeidet, som igjen potensielt kan føre til store tap og tapte muligheter.
CoinHive
Den nettbaserte metoden for kryptokapring ble først oppdaget i september 2017, da en kryptominer som ble kalt CoinHive, offisielt ble utgitt for publikum. CoinHive består av en JavaScript-kryptominer som angivelig ble opprettet med gode motiver: at nettstedseiere skulle kunne tjene penger på fritt tilgjengelig innhold uten å måtte benytte irriterende annonser.
CoinHive er kompatibel med alle større nettlesere og er relativt enkel å distribuere. Skaperne beholder 30 % av alle kryptovalutaer som mines gjennom koden deres. Den bruker kryptografiske nøkler for å identifisere hvilken brukerkonto som skal motta de resterende 70 %.
Til tross for at dette i utgangspunktet ble presentert som et interessant verktøy, mottok CoinHive mye kritikk fordi det nå brukes av nettkriminelle til på en uærlig måte å injisere mineren på flere hackede nettsteder (uten at eieren vet eller har godtatt det).
I de få tilfellene hvor CoinHive med vilje er implementert på en god måte, er kryptokapring-JavaScriptet konfigurert som en valgfri versjon kalt AuthedMine, som er en modifisert versjon av CoinHive, og som først starter miningen etter å ha fått den besøkendes samtykke.
Ikke overraskende blir ikke AuthedMine benyttet i samme grad som CoinHive. Et raskt søk på PublicWWW viser at minst 6400 nettsteder kjører CoinHive (hvorav 2810 er WordPress-sider). På den annen side er AuthedMine implementert av omtrent 550 nettsteder.
I løpet av første halvdel av 2018 ble CoinHive den største trusselen fra skadelig programvare ifølge antivirusprogrammer og cybersikkerhetsselskaper. Men nyere rapporter viser at kryptokapring ikke lenger er den mest utbredte trusselen, ettersom første- og andreplass nå er tatt over av banktrojanere og løsepengevirus.
Den raske økningen og fallet av kryptokapring kan være knyttet til arbeidet til cybersikkerhetsselskaper, ettersom mange kryptokapringskoder nå er svartelistet og blir raskt oppdaget av de fleste antivirusprogrammer. Nyere analyser tyder dessuten på at nettbasert kryptokapring ikke er så lønnsomt som det ser ut til.
Eksempler på kryptokapring
I desember 2017 ble CoinHive-koden implementert i det stille på WiFi-nettverket til flere Starbucks-butikker i Buenos Aires, som rapportert av en klient. Skriptet drev mining av Monero gjennom prosessorkraften til alle enheter som var koblet til.
Tidlig i 2018 ble det oppdaget at CoinHive-mineren kjørte på YouTube-annonser gjennom Googles DoubleClick-plattform.
I juli og august 2018 infiserte et kryptokapringsangrep over 200 000 MikroTik-rutere i Brasil og injiserte CoinHive-kode i en enorm mengde nettrafikk.
Hvordan oppdage og forhindre kryptokapring?
Hvis du mistenker at CPU-en din brukes mer enn normalt og kjøleviftene lager støy uten noen god grunn, er sjansen stor for at enheten din blir brukt til kryptomining. Det er viktig å finne ut om datamaskinen er infisert, eller om kryptokapringen utføres av nettleseren.
Nettbasert kryptokapring er relativt enkelt å oppdage og stoppe, mens skadelig miningprogramvare som retter seg mot datasystemer og nettverk, ikke alltid er så lett å oppdage, ettersom disse vanligvis er designet for å skjules eller utgir seg for å være noe legitimt.
Det finnes nettleserutvidelser som effektivt kan forhindre de fleste nettbaserte kryptokapringsangrep. I tillegg til at de er begrenset til nettbaserte minere, er disse mottiltakene vanligvis basert på en statisk svarteliste, som raskt kan bli utdatert etter hvert som nye metoder for kryptokapring blir distribuert. Derfor anbefales det også at du holder operativsystemet oppdatert, sammen med oppdatert antivirusprogramvare.
Når det gjelder bedrifter og større organisasjoner, er det viktig å informere og lære opp de ansatte om teknikker for kryptokapring og phishing, for eksempel falske e-poster og falske nettsider.
Sammendrag
Vær oppmerksom på enhetens ytelse og CPU-aktivitet.
Installer nettleserutvidelser, for eksempel MinerBlock, NoCoin og Adblocker.
Vær forsiktig med e-postvedlegg og lenker.
Installer et pålitelig antivirus og hold programvare, applikasjoner og operativsystemer oppdatert.
For bedrifter: Lær de ansatte om teknikker for kryptokapring og phishing.