Unter dem Begriff "Cryptojacking" versteht man die unautorisierte Nutzung eines fremden Computers zum "Schürfen" von Kryptowährungen wie Bitcoin. Das bewerkstelligen kriminelle Hacker, indem sie ihre Opfer beispielsweise dazu bringen, auf schadhafte Links in einer E-Mail zu klicken. Auch verseuchte JavaScript-Ads sind ein gängiges Mittel, um Zugang zu bekommen.
Foto: Dmitry Kalinovsky - shutterstock.com
Fortan werkelt der Cryptominer im Hintergrund fleißig - die arglosen Opfer merken nichts davon und bedienen ihre Rechner wie gewohnt. Einziger Hinweis auf ein mögliches Cryptomining wider Willen: wiederkehrende Performance-Einbrüche und dauerhafter Input-Lag.
Kryptowährung im Trend
Wie viel Kryptowährungsbestand bislang durch Cryptojacking erzeugt wurde, weiß niemand so genau. Sicher ist aber, dass das unbemerkte Einschleusen von Cryptominern sich wachsender Beliebtheit erfreut. Insbesondere browserbasiertes Cryptojacking ist auf dem Vormarsch: Adguard berichtete im November 2017 von einer Wachstumsrate von 31 Prozent in diesem Bereich. Im Februar 2018 deckte der "Bad Packets Report" auf, dass der populärste Javascript-Cryptominer - Coinhive - auf genau 34.474 Webseiten läuft. Allerdings kommt er auch zu legitimen Cryptomining-Zwecken zum Einsatz. Der Sicherheitsanbieter Malwarebytes warnte bereits vor einer Explosion erzwungener Kryptowährungs-Schürfungen und rechnet damit, dass Cryptojacking künftig die Werbung auf Webseiten ersetzt.
"Cryptomining steht in seinen Anfängen - es gibt noch jede Menge Raum für Wachstum und Entwicklung", gibt Marc Laliberte, Threat Analyst bei WatchGuard, zu bedenken. Coinhive sei sehr einfach auszurollen und habe in seinem ersten Monat um die 300.000 Dollar eingebracht, so der Experte. "Seitdem ist es deutlich gewachsen. Das ist wirklich leicht verdientes Geld."
Bei Kaspersky Lab hat man das Thema Cryptomining im Rahmen einer aktuellen Studie untersucht. Die erfolgreichste Hackerbande in Sachen Cryptojacking konnte demnach 2017 über einen Zeitraum von circa sechs Monaten satte sieben Millionen Dollar in Kryptowährung erbeuten. Die Angriffe auf Privatanwender und Unternehmen haben darüber hinaus laut Kaspersky im Jahresvergleich um 50 Prozent zugelegt: 2016 waren 1,87 Millionen User von Cryptomining wider Willen betroffen, für 2017 berichtet Kaspersky von 2,7 Millionen Nutzern.
Foto: Kaspersky Lab
"Wir stellen fest, dass Ransomware wieder in den Hintergrund tritt und den Weg für Miner frei macht", erklärt Anton Ivanov, Lead Malware Analyst bei Kaspersky Lab. "Das wird von unseren Zahlen bestätigt, die ein stetiges Wachstum über den Verlauf des gesamten Jahres ausweisen. Und auch dadurch, dass Gruppen von Cyberkriminellen aktiv ihre Methoden verbessern und bereits begonnen haben, höherentwickelte Techniken bei der Verbreitung von Mining-Software einzusetzen."
Im Januar 2018 entdeckten Sicherheitsforscher das Cryptomining-Botnetz "Smominru", das rund eine halbe Million Rechner - vor allem in Indien, Russland und Taiwan - infizieren konnte. Das Ziel des Botnetzes waren Windows-Server, die zur exzessiven Erzeugung von Monero genutzt wurden. Nach Schätzungen von Proofpoint wurde so bis Ende Januar 2018 ein Volumen von 3,6 Millionen Dollar in Kryptowährung erzeugt. Dabei erfordert das erzwungene Schürfen von Bitcoin, Monero und Konsorten noch nicht einmal besondere, technische Skills. Laut einer Untersuchung von Digital Shadows gibt es fertige Cryptojacking-Kits im Darknet bereits für weniger als 30 Dollar.
"Die billigere, profitablere Version von Ransomware"
Cryptojacking wird für kriminelle Hacker im Wesentlichen deshalb interessant, weil damit bei relativ geringem Risiko verhältnismäßig viel Geld zu machen ist. "Für Hacker ist Cryptojacking die billigere, profitablere Version von Ransomware", erklärt Alex Vaystikh, CTO von SecBI. "Bei Ransomware bekommt ein Hacker ungefähr drei von 100 Leuten dazu, das Lösegeld zu bezahlen. Im Fall von Cryptojacking arbeiten alle 100 befallenen Rechner mit voller Kraft für den Hacker, um Kryptowährung zu schürfen. Und das fortlaufend."
Das Risiko bei unrechtmäßigem Cryptomining geschnappt zu werden, ist für kriminelle Hacker wesentlich geringer, als das bei Ransomware der Fall ist. Der Cryptominer-Code arbeitet heimlich und bleibt meist für lange Zeit unentdeckt. Gelingt das doch, ist es meist sehr schwer, die Spur zur Quelle zurückzuverfolgen. Dazu kommt noch: Die Opfer haben meist wenig Anlass, das zu wollen. Schließlich wurde ja nichts gestohlen oder Daten verschlüsselt. Obwohl Bitcoin die bekannteste aller Kryptowährungen darstellt, setzen kriminelle Hacker beim Cryptojacking lieber auf Monero und Zcash, weil diese mit einem höheren Anonymitätslevel einhergehen.
So funktioniert Cryptojacking
Um auf den Rechner ihrer Opfer im Verborgenen Kryptowährungen zu schürfen, nutzen kriminelle Hacker in der Regel zwei Wege:
Variante 1: Das Opfer lädt sich den Cryptominer selbst auf den Computer. Das geschieht meist über Phishing-Taktiken - zum Beispiel eine E-Mail mit integriertem Link. Hinter dem Link steht ein Cryptomining-Skript, das nach Aktivierung im Hintergrund arbeitet.
Variante 2: Einer Webseite oder Werbeanzeige (die auf vielen Seiten ausgeliefert wird) wird Schadcode "injiziert". Beim Besuch der Webseite oder mit Erscheinen des Werbe-Popups wird das zugehörige Skript automatisch ausgeführt. Auf dem Computer des Opfers wird dabei keinerlei Code gespeichert.
Das Ergebnis ist in beiden Fällen dasselbe: Der Cryptominer führt komplexe mathematische Berechnungen auf dem befallenen Rechner aus und sendet die Ergebnisse an einen Server, der unter der Kontrolle der kriminellen Hacker steht. In der Praxis nutzen viele Cyberkriminelle ohnehin beide Methoden parallel, um ihren Gewinn zu maximieren, wie Vaystikh erklärt: "Mit alten Malware-Tricks liefern die Hacker verlässlichere und hartnäckigere Software an die Rechner der Opfer aus - als Notreserve. Von 100 Devices, die für einen Hacker Kryptowährungen schürfen, generieren 10 Prozent Einkommen über den Code auf den Computern selbst, während 90 Prozent das per Webbrowser erledigen."
Im Gegensatz zu den meisten anderen Malware-Arten richten Cryptojacking Scripts keinerlei Schaden auf befallenen Computern an. Aber sie stehlen Ressourcen. Für den einzelnen Benutzer mag eine leicht verminderte Performance nur einen nervigen Umstand darstellen. Bei Unternehmen, die im großen Stil mit Cryptojacking zu kämpfen haben, können hingegen Unsummen auflaufen, denn zunächst wird man das Performance-Problem in der Regel durch zeitintensive Fehlersuchen und den Austausch von Komponenten zu lösen versuchen.
Ungewolltes Cryptomining verhindern - so geht‘s
Um zu verhindern, dass Ihr Unternehmen zur Kryptowährungs-Goldgrube für kriminelle Hacker wird, sollten Sie folgende Schritte initiieren:
Integrieren Sie die Bedrohung durch Cryptojacking in Ihr Security Awareness Training. Dabei sollten Sie den Fokus insbesondere auf Phishing-Taktiken legen, über die die Cryptomining-Scripts auf den Rechnern platziert werden. Das könnte Sie unter Umständen schützen, wenn technische Lösungen versagen.
Experte Vaystikh gibt an dieser Stelle allerdings zu bedenken: "Ein Awareness-Training wird bei automatisiertem Cryptojacking, das über den Besuch legitimer Webseiten angestoßen wird, nichts bringen. Schließlich kann man den Usern auch gar nicht genau sagen, welche Webseiten sie nicht besuchen sollten."
Statten Sie Webbrowser mit Adblockern oder Anti-Cryptomining-Erweiterungen aus. Weil Cryptojacking oft über den Internet Browser vonstatten geht, kann die Installation von Adblockern ein wirksames Mittel dagegen sein. Einige Adblocker können Cryptominer-Skripte bereits ganz gezielt aufspüren. Darüber hinaus empfehlen sich auch Browser Tools wie No Coin oder MinerBlock.
Halten Sie Ihre Webfilter Tools auf dem neuesten Stand. Wenn Sie eine Website identifiziert haben, über die Cryptojacking Scripts ausgeliefert werden, sollte diese künftig auch für sämtliche Nutzer nicht mehr abrufbar sein.
Halten Sie Browser-Erweiterungen auf dem neuesten Stand. Einige Cyberkriminelle verbreiten ihre Cryptominer auch über schadhafte Browser-Addons oder verseuchen legitime Erweiterungen.
Nutzen Sie Mobile Device Management (MDM) für eine bessere Kontrolle. BYOD-Richtlinien stellen eine Herausforderung dar, wenn es darum geht, Cryptomining wider Willen zu unterbinden. MDM-Lösungen können dabei helfen, Apps und Erweiterungen auf den Devices der User zu managen, sind aber in der Regel auf Großunternehmen ausgerichtet. Vielen kleinen Firmen fehlt hierfür das nötige Kleingeld. Mobile Endgeräte sind für die kriminellen Hacker ohnehin weniger interessant, da ihre Rechenkraft in der Regel (noch) zu gering ausfällt, um lukrativ zu sein.
Wie Sie Cryptojacking erkennen können
Ähnlich wie Ransomware kann Cryptojacking auch Unternehmen treffen, deren IT-Systeme in Sachen Sicherheit gut im Saft stehen. Das Aufspüren einer ungewollten Kryptowährungs-Gewinnung kann sehr diffizil sein, insbesondere wenn nur wenige Systeme kompromittiert wurden. Ihr Endpunkt-Schutz kann gegen Cryptojacking nichts ausrichten, wie Marc Laliberte weiß: "Cryptominer sind in der Lage, sich vor signaturbasierten Detection Tools zu verbergen. Antivirus-Lösungen für Desktop-Computer werden nichts erkennen."
Das können Sie tun, um Cryptojacking auf die Spur zu kommen:
Trainieren Sie Ihren Help Desk auf Cryptojacking-Warnzeichen. Manchmal ist der erste Hinweis auf einen eingeschleusten Cryptominer ein Anstieg der Beschwerden über mangelnde Rechner-Performance. Zumindest sollten in diesem Fall die Alarmglocken schrillen und weitere Untersuchungen angestoßen werden. Andere Warnsignale, nach denen der Help Desk Ausschau halten sollte: Überhitzte Systeme, CPU- oder Kühlsystem-Fehler.
Rollen Sie eine Network-Monitoring-Lösung aus. Nicht wenige Experten - darunter auch SecBI-CTO Vaystikh - sind davon überzeugt, dass Cryptojacking in einem Unternehmensnetzwerk deutlich leichter festzustellen ist, als im privaten Bereich. Mit einer Network-Monitoring-Lösung (die in vielen Unternehmen vorhanden ist) seien die heimlichen Kryptowährungs-Schürfer nämlich relativ leicht zu entdecken, während die meisten Endpoint-Lösungen für Kosnumenten dazu nicht in der Lage wären. Dennoch haben nur wenige Unternehmen mit Netzwerk-Monitoring-Tools auch die nötigen Fähigkeiten, um die richtigen und wichtigen Infos aus der Datenanalyse ziehen zu können.
Crpytojacking-Angriffe: Das tun Sie im Ernstfall
Sollten Sie nun feststellen, dass auch in Ihrem Unternehmensnetzwerk fleißig - und ungewollt - Bitcoin, Monero, Zcash und Co. geschürft werden, sind folgende Maßnahmen zu empfehlen:
Blockieren Sie Skripte, die über Webseiten ausgeliefert werden. Geht es um Javascript-Angriffe, die im Browser stattfinden, ist die Lösung einfach: Schließen Sie das Browser-Tab, in dem das Skript läuft. Die betreffende URL sollte von der IT-Abteilung umgehend blockiert werden. Um künftigen Cryptojacking-Angriffen vorzubeugen, sollten Sie zudem über den Einsatz von Anti-Cryptomining-Tools nachdenken.
Aktualisieren Sie Ihre Browser-Erweiterungen. Wenn der Browser bereits infiziert ist, bringt das Schließen des Fensters natürlich wenig. Bringen Sie also alle Erweiterungen auf den neuesten Stand und deinstallieren Sie solche, die infiziert sind oder die sie nicht brauchen.
Lernen Sie aus Ihren Fehlern. Nutzen Sie die gemachten Erfahrungen, um nachvollziehen zu können, wie die Cyberkriminellen Ihre Systeme kompromittieren konnten. Bringen Sie Ihre Schulungen für die User, den Helpdesk und die IT auf Vordermann, um Cryptojacking-Versuche besser und schneller erkennen und entsprechend reagieren zu können.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.