Cryptojacking FAQ

Cryptomining wider Willen



Michael ist Senior Editor bei unserer US-Schwesterpublikation CSO Online. Zuvor arbeitete er bereits als Redakteur und Buchautor. Darüber hinaus unterstützte er Unternehmen dabei, das Maximum aus ihren ERP-Systemen zu holen.


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Kriminelle lieben Kryptowährungen. Deswegen nutzen sie die Computer Ihrer Mitarbeiter, um Cryptomining im großen Stil zu betreiben. Wir sagen Ihnen, wie Sie diesem Treiben ein Ende setzen.

Unter dem Begriff "Cryptojacking" versteht man die unautorisierte Nutzung eines fremden Computers zum "Schürfen" von Kryptowährungen wie Bitcoin. Das bewerkstelligen kriminelle Hacker, indem sie ihre Opfer beispielsweise dazu bringen, auf schadhafte Links in einer E-Mail zu klicken. Auch verseuchte JavaScript-Ads sind ein gängiges Mittel, um Zugang zu bekommen.

Wird in Ihrem Unternehmensnetz ungewollt Cryptomining im großen Stil betrieben?
Wird in Ihrem Unternehmensnetz ungewollt Cryptomining im großen Stil betrieben?
Foto: Dmitry Kalinovsky - shutterstock.com

Fortan werkelt der Cryptominer im Hintergrund fleißig - die arglosen Opfer merken nichts davon und bedienen ihre Rechner wie gewohnt. Einziger Hinweis auf ein mögliches Cryptomining wider Willen: wiederkehrende Performance-Einbrüche und dauerhafter Input-Lag.

Kryptowährung im Trend

Wie viel Kryptowährungsbestand bislang durch Cryptojacking erzeugt wurde, weiß niemand so genau. Sicher ist aber, dass das unbemerkte Einschleusen von Cryptominern sich wachsender Beliebtheit erfreut. Insbesondere browserbasiertes Cryptojacking ist auf dem Vormarsch: Adguard berichtete im November 2017 von einer Wachstumsrate von 31 Prozent in diesem Bereich. Im Februar 2018 deckte der "Bad Packets Report" auf, dass der populärste Javascript-Cryptominer - Coinhive - auf genau 34.474 Webseiten läuft. Allerdings kommt er auch zu legitimen Cryptomining-Zwecken zum Einsatz. Der Sicherheitsanbieter Malwarebytes warnte bereits vor einer Explosion erzwungener Kryptowährungs-Schürfungen und rechnet damit, dass Cryptojacking künftig die Werbung auf Webseiten ersetzt.

"Cryptomining steht in seinen Anfängen - es gibt noch jede Menge Raum für Wachstum und Entwicklung", gibt Marc Laliberte, Threat Analyst bei WatchGuard, zu bedenken. Coinhive sei sehr einfach auszurollen und habe in seinem ersten Monat um die 300.000 Dollar eingebracht, so der Experte. "Seitdem ist es deutlich gewachsen. Das ist wirklich leicht verdientes Geld."

Bei Kaspersky Lab hat man das Thema Cryptomining im Rahmen einer aktuellen Studie untersucht. Die erfolgreichste Hackerbande in Sachen Cryptojacking konnte demnach 2017 über einen Zeitraum von circa sechs Monaten satte sieben Millionen Dollar in Kryptowährung erbeuten. Die Angriffe auf Privatanwender und Unternehmen haben darüber hinaus laut Kaspersky im Jahresvergleich um 50 Prozent zugelegt: 2016 waren 1,87 Millionen User von Cryptomining wider Willen betroffen, für 2017 berichtet Kaspersky von 2,7 Millionen Nutzern.

Cryptojacking im Jahresverlauf 2017: Anzahl der Nutzer, die laut Kaspersky mit maliziösen Kryptowährungs-Minern infiziert waren.
Cryptojacking im Jahresverlauf 2017: Anzahl der Nutzer, die laut Kaspersky mit maliziösen Kryptowährungs-Minern infiziert waren.
Foto: Kaspersky Lab

"Wir stellen fest, dass Ransomware wieder in den Hintergrund tritt und den Weg für Miner frei macht", erklärt Anton Ivanov, Lead Malware Analyst bei Kaspersky Lab. "Das wird von unseren Zahlen bestätigt, die ein stetiges Wachstum über den Verlauf des gesamten Jahres ausweisen. Und auch dadurch, dass Gruppen von Cyberkriminellen aktiv ihre Methoden verbessern und bereits begonnen haben, höherentwickelte Techniken bei der Verbreitung von Mining-Software einzusetzen."

Im Januar 2018 entdeckten Sicherheitsforscher das Cryptomining-Botnetz "Smominru", das rund eine halbe Million Rechner - vor allem in Indien, Russland und Taiwan - infizieren konnte. Das Ziel des Botnetzes waren Windows-Server, die zur exzessiven Erzeugung von Monero genutzt wurden. Nach Schätzungen von Proofpoint wurde so bis Ende Januar 2018 ein Volumen von 3,6 Millionen Dollar in Kryptowährung erzeugt. Dabei erfordert das erzwungene Schürfen von Bitcoin, Monero und Konsorten noch nicht einmal besondere, technische Skills. Laut einer Untersuchung von Digital Shadows gibt es fertige Cryptojacking-Kits im Darknet bereits für weniger als 30 Dollar.

"Die billigere, profitablere Version von Ransomware"

Cryptojacking wird für kriminelle Hacker im Wesentlichen deshalb interessant, weil damit bei relativ geringem Risiko verhältnismäßig viel Geld zu machen ist. "Für Hacker ist Cryptojacking die billigere, profitablere Version von Ransomware", erklärt Alex Vaystikh, CTO von SecBI. "Bei Ransomware bekommt ein Hacker ungefähr drei von 100 Leuten dazu, das Lösegeld zu bezahlen. Im Fall von Cryptojacking arbeiten alle 100 befallenen Rechner mit voller Kraft für den Hacker, um Kryptowährung zu schürfen. Und das fortlaufend."

Das Risiko bei unrechtmäßigem Cryptomining geschnappt zu werden, ist für kriminelle Hacker wesentlich geringer, als das bei Ransomware der Fall ist. Der Cryptominer-Code arbeitet heimlich und bleibt meist für lange Zeit unentdeckt. Gelingt das doch, ist es meist sehr schwer, die Spur zur Quelle zurückzuverfolgen. Dazu kommt noch: Die Opfer haben meist wenig Anlass, das zu wollen. Schließlich wurde ja nichts gestohlen oder Daten verschlüsselt. Obwohl Bitcoin die bekannteste aller Kryptowährungen darstellt, setzen kriminelle Hacker beim Cryptojacking lieber auf Monero und Zcash, weil diese mit einem höheren Anonymitätslevel einhergehen.

So funktioniert Cryptojacking

Um auf den Rechner ihrer Opfer im Verborgenen Kryptowährungen zu schürfen, nutzen kriminelle Hacker in der Regel zwei Wege:

Variante 1: Das Opfer lädt sich den Cryptominer selbst auf den Computer. Das geschieht meist über Phishing-Taktiken - zum Beispiel eine E-Mail mit integriertem Link. Hinter dem Link steht ein Cryptomining-Skript, das nach Aktivierung im Hintergrund arbeitet.

Variante 2: Einer Webseite oder Werbeanzeige (die auf vielen Seiten ausgeliefert wird) wird Schadcode "injiziert". Beim Besuch der Webseite oder mit Erscheinen des Werbe-Popups wird das zugehörige Skript automatisch ausgeführt. Auf dem Computer des Opfers wird dabei keinerlei Code gespeichert.

Das Ergebnis ist in beiden Fällen dasselbe: Der Cryptominer führt komplexe mathematische Berechnungen auf dem befallenen Rechner aus und sendet die Ergebnisse an einen Server, der unter der Kontrolle der kriminellen Hacker steht. In der Praxis nutzen viele Cyberkriminelle ohnehin beide Methoden parallel, um ihren Gewinn zu maximieren, wie Vaystikh erklärt: "Mit alten Malware-Tricks liefern die Hacker verlässlichere und hartnäckigere Software an die Rechner der Opfer aus - als Notreserve. Von 100 Devices, die für einen Hacker Kryptowährungen schürfen, generieren 10 Prozent Einkommen über den Code auf den Computern selbst, während 90 Prozent das per Webbrowser erledigen."

Im Gegensatz zu den meisten anderen Malware-Arten richten Cryptojacking Scripts keinerlei Schaden auf befallenen Computern an. Aber sie stehlen Ressourcen. Für den einzelnen Benutzer mag eine leicht verminderte Performance nur einen nervigen Umstand darstellen. Bei Unternehmen, die im großen Stil mit Cryptojacking zu kämpfen haben, können hingegen Unsummen auflaufen, denn zunächst wird man das Performance-Problem in der Regel durch zeitintensive Fehlersuchen und den Austausch von Komponenten zu lösen versuchen.