Hacker im Geldrausch: Wie erkenne ich Cryptojacking und schütze mich davor?
von Svenja Koch
Bitcoins und andere Kryptowährung tauchen immer wieder in den Nachrichten auf. Dabei wird vor allem über steigende Kurse berichtet. Gerade die Bitcoins erreichen stetig neue Höchstwerte. Im April 2021 erreichte der Wert eines Bitcoins erstmals mehr als 50.000 Euro. Der steigende Wert der Kryptowährungen zieht jedoch auch Cyberkriminelle an.
Was sind Kryptowährungen und wie funktionieren diese?
Bei den Kryptowährungen handelt es sich um Zahlungsmittel, die ausschließlich in digitaler Form existieren. Es gibt keine Zentralbank oder eine ähnliche Institution, die für die Verwaltung zuständig ist. Viel mehr basieren diese Währungen auf Blockchains und digitalen Signaturen, die jeweils einzelne Transaktionen verifizieren. Dadurch sind die Kryptowährungen unabhängig und gleichzeitig fälschungssicher, da die Informationen verteilt gespeichert sind.
Der Wert einer solchen Kryptowährung hängt maßgeblich von den Nutzern ab. Da bei einer Transaktion ein direkter Tausch zwischen Währung und Ware oder Dienstleistung stattfindet, bestimmen Käufer und Verkäufer den Wert. Dementsprechend gibt es auch keine festen Wechselkurse zu den bekannten, offiziellen Währungen wie dem Euro. Gleichzeitig findet ein permanenter Austausch zwischen Bitcoins und Euro statt, da viele die digitalen Währungen als Spekulationsobjekt ansehen.
Kryptowährung funktionieren global und ohne Umtauschkurse. Ebenso sind Transaktionen für Außenstehende nicht nachvollziehbar und somit geheim. Es gibt sogenannte digitale Wallets. In diesen speichern Besitzer ihre Kryptowährungen und senden oder empfangen diese. Diese Eigenart ist einer der großen Vorteile der Technologie, gleichzeitig sind Bitcoins und andere digitale Währungen deshalb für Kriminelle so interessant.
Das steckt hinter dem Cryptojacking
Bei dem Cryptojacking handelt es sich um eine Technik, die Ressourcen fremder Computer illegal zu nutzen. Dies ist im Zusammenhang mit Kryptowährungen interessant. Um dies zu verstehen, ist es wichtig, die Funktionsweise dieser Währungen zu kennen. Die dezentralisierte Technik von Bitcoins und ähnlichen digitalen Währungen erfordert es, dass Nutzer dieses Systems Rechenleistung zur Verfügung stellen. Im Zentrum steht eine Datenbank, in der alle Transaktionen gespeichert sind. Diese wächst permanent und es bedarf einer immensen Rechenleistung für die Verwaltung der Daten. Als Ausgleich dafür erhalten die Nutzer anteilig Währungseinheiten an der betreffenden Kryptowährung. Dieser Prozess wird auch aus „Mining“ bezeichnet.
Bereits früh etablierte sich eine Mining-Szene. Hier haben versierte Nutzer ganze Rechnerfarmen mit dem Ziel betrieben, digitale Währungen zu farmen. Durch eine Optimierung der Prozesse und dem Einsatz effizienter Hardware wird dies lohnenswert. Als effektiv haben sich leistungsstarke, moderne Grafikkarten erwiesen. Gerade im Bereich Bitcoins war und ist diese Methode beliebt. Der Grund dafür ist der hohe Wert dieser Währung, der dazu auch noch rasant ansteigt.
Die Anschaffung einer solchen Infrastruktur ist jedoch teuer und der Profit hängt von der Entwicklung des Wertes der Kryptowährung ab. Aus diesem Grund setzen Kriminelle auf das Cryptojacking. Der eigentliche Prozess des Mining ist vergleichsweise einfach. Eine Software übernimmt dies im Hintergrund. Wichtig ist für die Cyberkriminellen, diese unbemerkt auf möglichst viele Rechner zu bringen. So entsteht eine virtuelle Serverfarm, die verbunden ist und eine bestimmte Digitalwährung farmt. Durch die hohen Gewinne, die eine solche Farm liefert, entstehen neue Formen von Cyberbedrohungen. Es handelt sich im Kern um ein Bot-Netzwerk, das zentral gesteuert wird.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Mit diesen Methoden gehen Hacker beim Cryptojacking vor
Das Ziel beim Cryptojacking ist es, die Kontrolle über möglichst viele Rechner zu erhalten und dabei unentdeckt zu bleiben. Ein erfolgreicher Angriff demnach vor, wenn der Besitzer des infiltrierten Systems von den Aktivitäten des Cyberkriminellen nichts mitbekommt.
Es gibt beim Cryptojacking drei verschiedene Formen. Das temporäre und das Drive-by-Cryptojacking ähneln sich in der Methodik. Beide benötigen eine aktive Verbindung zu einer präparierten Quelle. Es sind meist browserbasierte Attacken. Das Opfer wird auf eine Webseite gelockt, die dann die Ressourcen des Rechners für das Cryptomining nutzt. Verlässt der Nutzer die Webseite, bricht die Verbindung ab. Beim Drive-by-Cryptojacking bleibt eventuell ein Pop-up-Fenster im Browser offen und das Mining wird fortgesetzt. Eine lokale Kompromittierung erfolgt hingegen nicht. Spätestens, wenn der Nutzer seinen Rechner neu startet, endet der Mining-Vorgang. Von dieser Art des Angriffs sind nicht nur PCs bedroht, sondern auch Smartphones, Tablets und ähnliche Geräte, mit denen Nutzer im Internet surfen.
Die dritte Art ist das kontinuierliche Cryptojacking. Dies erfordert einen direkten Zugriff auf das Zielsystem. Auf diesem Weg installieren die Angreifer eine Software, die für das Cryptomining benötigt wird. Es gibt eine Vielzahl von Methoden, mit denen Hacker beim kontinuierlichen Cryptojacking vorgehen. Ein Weg, wie sie ihre Programme auf den Zielsystemen ausbringen, ist mit manipulierter Software. Dann sind die Komponenten für das Mining in einer App, die als kostenlos angepriesen ist, versteckt. Wer eine solche Anwendung herunterlädt und installiert, startet ahnungslos auch die Mining-Software der Angreifer. Auf die gleiche Art und Weise infizieren Hacker ihre Opfer über Video-Streaming- oder Filesharing-Plattformen. Beliebt sind außerdem Drive-by-Downloads über präparierte Webseiten. Mit einem Clickbait oder einer E-Mail mit einem Link in der Nachricht locken die Kriminellen Zielpersonen auf solche Webseiten, die dann über einen versteckten Download im Hintergrund das System infizieren.
Auch Innentäter spielen beim Cryptojacking eine Rolle. In größeren Organisationen und Unternehmen steht eine Menge Rechenleistung zur Verfügung. Jeder Arbeitsplatzrechner, die Server und andere Computer im Netzwerk stellen potenzielle Systeme mit nutzbaren Ressourcen dar. Wenn es sich um einen Angestellten aus der IT handelt, hat dieser auch die Möglichkeit, die vorhandene IT Security direkt zu umgehen. Bei dieser Art von Cyberbedrohungen wird von Shadow-Mining gesprochen.
Mit dem gleichen Ziel gehen Kriminelle bei Angriffen auf größere Infrastrukturen vor. Hierbei greifen sie zu bekannten Methoden wie Phishing oder der Kompromittierung von Nutzerkonten, um sich Zugang zu Netzwerken zu verschaffen. Sobald die Hacker Zugriff auf das Netzwerk haben, beginnt die Installation der Mining-Software.
So lässt sich Cryptojacking erkennen
Das Cryptojacking ist, im Vergleich zu anderen Cyberbedrohungen, recht schwer zu erkennen. Gleichzeitig gibt es einige ganz charakteristische Merkmale, die eine Infizierung mit einer Mining-Software vermuten lassen. In vielen Fällen sind die klassischen Verteidigungsmechanismen der IT Security nicht in der Lage, das Cryptomining zu erkennen. Dies liegt daran, dass beispielsweise Virenscanner viele der eingesetzten Techniken nicht als schädlich erkennen.
Wenn Kriminelle einen fremden Rechner für das Mining missbrauchen, dann versuchen sie, dass dies möglichst lange unentdeckt bleibt. Dies ist im Interesse der Angreifer, denn so stehen die Ressourcen des Systems lange für ihre Zwecke zur Verfügung. Das Cryptomining schränkt die grundsätzliche Funktion eines Rechners nicht ein und auch weitere Cyberbedrohungen sind selten. Die Cyberkriminellen sind ausschließlich an der reinen Rechenleistung interessiert, die sie für den Mining-Prozess benötigen. An diesem Punkt ist es dann auch möglich, zu erkennen, ob das eigene System für das Mining missbraucht wird. Ein PC, der Kryptowährung schürft, ist meist permanent ausgelastet.
Der Prozessor arbeitet also auf voller Last, was sich auf verschiedene Arten bemerkbar macht. Zum einen erzeugt dies mehr Abwärme, sodass der Lüfter des Prozessorkühlers lauter ist als gewohnt. Zum anderen sorgt die hohe Prozessorauslastung für Systeme, die deutlich langsamer reagieren als gewohnt. Anzeichen für eine unbemerkte Nutzung für das Cryptomining sind Programme, die beim Starten oder dem Ausführen von Befehlen lange benötigen. Wenn eine solche Verlangsamung plötzlich auftritt, ist dies ein Hinweis auf ein mögliches illegales Cryptomining.
Das Mining von Bitcoins erfordert außerdem eine Menge Energie. Durch die hohe Auslastung der CPU steigt der Stromverbrauch. Eine gestiegene Stromrechnung ist somit ein weiterer Hinweis für ein unentdecktes Cryptomining. Gerade in Unternehmen mit einer Vielzahl an Systemen sorgt dies für erhebliche Mehrkosten. Somit entstehen durch diese Cyberbedrohungen auch indirekt finanzielle Schäden.
Die erhöhten Stromkosten sind außerdem ein Anzeichen, wie Unternehmen das Shadow-Mining durch einen Innentäter erkennen. Es gibt darüber hinaus weitere Merkmale. Miner sind oft darauf bedacht, die Systeme möglichst lange, am besten sogar rund um die Uhr, am Laufen zu halten. Sind PCs im Unternehmensbereich also plötzlich permanent in Betrieb, deutet auch dies auf eine illegale Nutzung der Ressourcen durch einen Innentäter hin.
Das illegale Cryptomining auf der eigenen IT-Infrastruktur verhindern
Mit einem System zur Früherkennung erfolgreicher Angriffe bzw. Kompromittierungen des Netzwerkes ist es möglich, Cyberbedrohungen dieser Art rechtzeitig einzudämmen bzw. zu verhindern. Mit einem solchen proaktiven Cyber Defense Ansatz erfolgt eine laufende Überwachung von Prozessen und Auslastungen auf den Systemen innerhalb der Organisation. Diese softwarebasierten Lösungen senden Warnungen, wenn es Änderungen im Verhalten gibt, also wenn beispielsweise die Auslastung der Prozessoren plötzlich deutlich ansteigt oder Rechner auf einmal rund um die Uhr laufen. Dies erspart der IT Security eine permanente manuelle Kontrolle der Systeme und ist zudem zuverlässiger.
Weitere Aufgaben für die IT Security sind bereits aus der Prävention von anderen Cyberbedrohungen bekannt. Hierzu gehört es unter anderem, dass die IT Security die Mitarbeiter im Unternehmen sensibilisiert. Der Besuch von unbekannten Webseiten sowie das Öffnen von E-Mail-Anhängen stellt im Unternehmensbereich ein hohes IT- und Informationssicherheitsrisiko dar. Die Mitarbeiter sind so zu schulen, dass sie bei auffälligem Verhalten des eigenen Arbeitsplatzrechners die IT Security informieren. Dazu gehören insbesondere eine langsame Arbeitsgeschwindigkeit und hängende Programme.
Außerdem fällt es in den Aufgabenbereich der IT Security, für sichere Browser zu sorgen. Hier sind ein Pop-up-Schutz sowie ein Blocken von interaktiven Java-Inhalten wichtig, um das Drive-by-Cryptojacking zu verhindern. Ebenfalls zu den Aufgaben der IT Security zählt es, die Konten mit erweiterten Rechten besonders zu schützen. Mit Administratorrechten ist möglichst sparsam umzugehen. Gleiches gilt für die Berechtigungen von Mitarbeitern im Netzwerk. Nutzerkonten dürfen nur über die unbedingt notwendigen Rechte verfügen.
Fazit
Das Cryptojacking ist eine weitere Cyberbedrohung in der langen Liste von Gefahren, mit denen sich die moderne IT Security auseinandersetzen muss. Die Vorgehensweisen zeigen, dass Hacker ganz unterschiedliche Ziele und Motive für Angriffe haben. Diese asymmetrische Situation stellt die IT Security vor Herausforderungen und erfordert den Einsatz spezifischer Technik, um alle diese Cyberbedrohungen abzuwehren. Somit wächst der Aufgabenbereich der IT Security permanent, was die Absicherung von Netzwerken nicht einfacher macht. Wie in vielen anderen Bereichen zeigt sich jedoch auch hier, dass Prävention und der Einsatz der richtigen IT Security Tools für ein hohes Maß an Sicherheit sorgen.
Experten-Tipp: Mit einem System zur Früherkennung erfolgreicher Angriffe bzw. Kompromittierungen erfolgt eine laufende Überwachung von Prozessen und Auslastungen auf den Systemen innerhalb der Organisation. Unser Active Cyber Defense Service identifiziert kompromittierte Systeme durch Erkennen von auffälligem Kommunikationsverhalten. Hierdurch können diese gezielt isoliert und zügig bereinigt werden. Wird beispielsweise ein aktiv laufender Cryptomining-Angriff durch den Service identifiziert, stehen wir Ihnen bei Bedarf mit IR-Experten unmittelbar zur Seite.
Wie würden Sie einen Cryptomining-Angriff erkennen, der in Ihrem Netzwerk stattfindet?
Kontaktieren Sie unsere Experten - wir beraten Sie gerne!
Zum Thema passende Artikel
Der Umgang mit digitalen Bildern, Dokumenten und Dateien gehört für viele zum Alltag dazu. Häufig teilen auch Mitarbeiter Daten mit unternehmensfremden Personen oder verschicken digitale Dokumente über das Internet. Was viele nicht bedenken: Es werden bestimmte zusätzliche sensible Informationen dabei preisgegeben - meist ungewollt.. Viele Nutzer sind sich der Existenz und der Reichweite dieser Informationen außerdem gar nicht bewusst. Da digitale Systeme jedoch immer tiefer in unser Leben eindringen, ist es wichtig, um die potenziellen Gefahrenquellen zu wissen und den Metadaten-Schutz aktiv voranzutreiben.
Weiterlesen … Unterschätztes Sicherheitsrisiko: Wie schützen Sie eigentlich Ihre Metadaten?
Cybersicherheitsvorfälle gehören inzwischen zu einer Alltagsbedrohung. Nicht immer handelt es sich dabei um Advanced Persistent Threats, also zielgerichtete Angriffe auf kritische Bereiche der Infrastruktur. Auch hat die IT Security von Unternehmen viele Cyberbedrohungen, die täglich auftreten, gut im Griff. Gleichzeitig sorgt dies in vielen Fällen für ein falsches Gefühl von Sicherheit: Viele Unternehmen bewerten ihre eigene IT Security als exzellent. Tatsächlich ist die IT-Sicherheit bei vielen Unternehmen ausbaufähig, das hat Marktforschungsinstitut IDC für seine Studie „Cybersecurity in Deutschland 2021" herausgefunden.