Was ist Kryptojacking und wie funktioniert es?

Kryptojacking ist, wenn ein Hacker den Desktop oder Laptop eines Opfers verwendet, um Kryptowährung zu generieren. Dies geschieht, wenn das Opfer unwissentlich einen bösartigen Code installiert, der es einem Cyberkriminellen ermöglicht, auf sein Gerät zuzugreifen.

Dies kann passieren, wenn ein Opfer auf einen unbekannten Link auf einer Webseite oder Phishing-E-Mail klickt. Der Cyberkriminelle verwendet dann diese als Coin Miner bekannte Malware, um Kryptowährungen zu schürfen.

Kryptowährungen sind digitale Währungen, daher benötigt der Hacker nur Malware und das Gerät eines Opfers, um sie zu schürfen.

Wie funktioniert Kryptojacking?

Cyberkriminelle haben mehrere Möglichkeiten, den Computer eines Opfers dazu zu bringen, mit dem Schürfen von Kryptowährung zu beginnen.

Die erste besteht darin, die Opfer dazu zu verleiten, Krypto-Mining-Code auf ihre PCs zu laden, oft durch eine Phishing-E-Mail.

Das Opfer erhält eine legitim aussehende E-Mail, die es dazu auffordert, auf einen Link zu klicken. Der Link führt dann ein Skript auf dem Computer aus, das im Hintergrund ohne Wissen des Opfers Kryptowährungen schürft.

Die zweite Methode besteht darin, ein Skript auf einer Website zu platzieren oder eine Anzeige an mehrere Websites zu liefern. Wenn ein Opfer eine betroffene Website besucht oder auf eine infizierte Anzeige klickt, wird das Skript automatisch ausgeführt.

In jedem Fall wird der Code nicht auf dem Gerät des Opfers gespeichert; Es führt lediglich komplexe mathematische Probleme aus und sendet die Ergebnisse an einen Server unter der Kontrolle des Cyberkriminellen.

Einige Skripte verfügen über wurmähnliche Fähigkeiten, sodass sie mehr Geräte im selben Netzwerk infizieren und so den Gewinn für den Hacker maximieren können. Dies erschwert auch das Entfernen.

Laut Sicherheitsforschern von AT&T können solche Würmer auch ihre Skripte so ändern, dass sie auf verschiedenen Computerarchitekturen wie x86, x86-64 und aarch64 ausgeführt werden. Hacker durchlaufen verschiedene Skripte, bis eines funktioniert. Dann stellt ein Cron-Job sicher, dass das Skript auf einem Gerät bestehen bleibt, oder beendet das Skript, wenn es erkannt wird.

Krypto-Mining-Skripte können auch prüfen, ob andere konkurrierende Krypto-Mining-Malware ein Gerät durch Kryptojacking geknackt hat. Wenn es andere Skripte erkennt, kann es diese deaktivieren, um stattdessen sein Skript auszuführen.

Warum ist Kryptojacking ein Problem?

Cryptojacking scheint ein Verbrechen ohne Opfer zu sein, da dem Computer eines Opfers kein Schaden zugefügt und keine Daten gestohlen werden.

Gestohlen werden die Ressourcen, die einem Computer in Form von CPU- oder GPU-Zyklen zur Verfügung stehen. Die Verwendung von Rechenleistung auf diese Weise ist kriminell und erfolgt ohne das Wissen oder die Zustimmung des Opfers zum Vorteil des Hackers, der dann mit dieser Aktivität Geld verdient.

Während eine Einzelperson sich über einen langsameren Computer ärgern kann, können Unternehmen Kosten durch Helpdesk-Tickets und IT-Supportzeit beim Auffinden und Beheben von Problemen mit langsamen Computern entstehen. Es kann auch zu viel höheren Stromrechnungen für betroffene Unternehmen führen.

Warum ist Kryptojacking beliebt?

Cryptojacking ist im Vergleich zu anderen Cyberkriminalität ein neues Phänomen, da es 2017 an Bedeutung gewann, als der Wert von Bitcoin schnell zunahm.

Einer der ersten Kryptojacking-Dienste war Coinhive. Dies war eine Sammlung von JavaScript-Dateien, die Website-Eigentümern die Möglichkeit bot, mit ihren Besuchern Geld zu verdienen. Im März 2019 hat Coinhive seine Dienste für immer eingestellt, aber andere Versionen existieren noch im Internet.

Die Anzahl der Angriffe scheint dem Wert der Kryptowährung zu folgen. Laut einem Enisa-Bericht stieg die Zahl der Kryptojacking-Vorfälle im Jahr 2020 im Vergleich zum Vorjahr um 30 %. 

In demselben Bericht heißt es, Monero (XMR) sei die Kryptowährung der Wahl für Kryptojacking-Aktivitäten im Jahr 2019, da sie sich auf Datenschutz und Anonymität konzentriert. Dies bedeutet, dass Modero-Transaktionen nicht nachverfolgt werden können. Außerdem hat Monero seinen Proof-of-Work-Algorithmus entwickelt, um das Mining mit einer Standard-CPU statt mit spezialisierter Hardware realisierbar zu machen. Dieser ASIC-resistente Mining-Algorithmus macht ihn perfekt für Computer, die mit Cryptojacking-Malware infiziert sind.

Insgesamt ist Kryptojacking beliebt, weil es keine Verbindung zu einem vom Hacker betriebenen Command-and-Control-Server benötigt. Es kann auch sehr lange unentdeckt bleiben, sodass Hacker anonym Geld verdienen können, ohne befürchten zu müssen, dass die Strafverfolgungsbehörden an ihre Türen klopfen.

Eine weitere Motivation ist Geld – Kryptojacking ist billig. Laut einem Bericht von Digital Shadows kosten Kits für den Einstieg in das Kryptojacking nur 30 US-Dollar. In einer Kampagne verdienten Hacker bis zu 10.000 US-Dollar pro Tag mit Krypto-Mining.

Was sind einige reale Beispiele für Kryptojacking?

Im Jahr 2019 wurden mehrere Apps, die mit den Ressourcen derjenigen, die sie heruntergeladen hatten, heimlich Kryptowährung schürften, aus dem Microsoft Store ausgeschlossen. Potenzielle Opfer würden die Apps durch Stichwortsuchen im Microsoft Store finden. Beim Herunterladen luden die Apps auch Kryptojacking-JavaScript-Code herunter, um Monero abzubauen.

Im Jahr 2018 wurde ein Kryptojacking-Code versteckt auf der Mordberichtsseite der Los Angeles Times gefunden. Dies hat auch Monero abgebaut.

Ein weiteres hochkarätiges Opfer von Kryptojacking war Tesla. Eine Untersuchung der Cybersicherheitsfirma Redlock ergab, dass Hacker die nicht passwortgeschützte Kubernetes-Konsole von Tesla infiltriert hatten. Sie haben Mining-Pool-Software installiert und das schädliche Skript so konfiguriert, dass es sich mit einem „nicht gelisteten“ oder halböffentlichen Endpunkt verbindet.

Im Jahr 2018 beobachtete Trend Micro, dass eine Gruppe von Hackern namens Outlaw versuchte, ein Skript in einem der IoT-Honeypots von Trend Micro auszuführen. Bis Ende desselben Jahres hatten die Hacker über 180.000 kompromittierte Hosts unter ihrer Kontrolle.

Im Jahr 2020 entdeckte Palo Alto Networks ein Kryptojacking-Schema, das Docker-Images verwendete, um Kryptomining-Software auf den Systemen der Opfer zu installieren. Die Cyberkriminellen fügten Code in Docker-Images ein, um eine Entdeckung zu vermeiden. Die infizierten Bilder halfen Kriminellen dabei, Kryptowährung im Wert von schätzungsweise 36.000 $ zu schürfen.

Was sind einige bekannte Cryptojacking-Malware?

Es gibt einige Beispiele für Cryptojacking-Malware. Einige Beispiele sind:

• Smominru: Dieser Cryptojacker kompromittiert Windows-Rechner mit einem EternalBlue-Exploit und Brute-Force-Angriffen auf verschiedene Dienste, darunter MS-SQL, RDP, Telnet und viele andere.
• Badshell :Dies verwendet dateilose Techniken und versteckt sich in Windows-Prozessen.
• Coinhive :Dies war ein legitimes Tool zur Monetarisierung von Websites, ist aber die weltweit größte Kryptojacking-Bedrohung.
• MassMiner :Hierbei handelt es sich um eine Malware zum Schürfen von Kryptowährungen, die mit wurmähnlichen Fähigkeiten entdeckt wurde, um sich über mehrere Exploits zu verbreiten.

Woher wissen Sie, ob Sie Opfer von Kryptojacking geworden sind?

Cryptojacking ist in den meisten Fällen praktisch nicht nachweisbar. Es gibt jedoch einige Anzeichen dafür, dass Ihr Computer ein Opfer sein könnte, einschließlich der Erwärmung des Computers, der lauten Lüftergeräusche, der schnelleren Entladung der Batterien als gewöhnlich, der verringerten Leistung und des Herunterfahrens aufgrund mangelnder verfügbarer Rechenleistung.

Sie sollten erwägen, alle Websites zu schließen und zu blockieren, die im Verdacht stehen, Cryptojacking-Skripte auszuführen, wenn Sie diese Symptome sehen. Sie sollten auch alle fragwürdigen Browsererweiterungen aktualisieren oder löschen.

Können Sie verhindern, dass Ihre Geräte Opfer von Kryptojacking werden?

Vorbeugen ist immer besser als Heilen, und es gibt ein paar Dinge, die Benutzer tun können, um zu verhindern, dass ihre Computer einem Kryptojacking-Vorfall zum Opfer fallen.

Dazu gehört die Installation eines Werbeblockers, da die meisten von ihnen Kryptojacking-Skripte verhindern können. Sie sollten Ihre Systeme auch mit der neuesten Software und Patches für Ihr Betriebssystem und alle Anwendungen – insbesondere Webbrowser – auf dem neuesten Stand halten. Viele Angriffe nutzen bekannte Fehler in vorhandener Software aus.

Organisationen können eine Liste mit URLs/IPs von infizierten Cryptojacking-Sites und Domains von Crypto-Mining-Pools erstellen, die blockiert werden sollen. Sie können auch eine Netzwerksystemüberwachung implementieren, um eine übermäßige Ressourcennutzung zu erkennen.