Cryptojacking

Cryptojacking ist eine Angriffsmethode, bei der ein Angreifer mithilfe von Malware die Computer und mobilen Geräte eines anderen Nutzers zum Schürfen von Cryptowährungen missbraucht. Um Crypto zu schürfen, sind Computer-Ressourcen erforderlich, die mathematische Probleme lösen. Mit einer größeren Anzahl an Computer-Ressourcen lässt sich mehr Crypto generieren. Da Crypto-Währungen immer mehr im Wert steigen, wird es für Angreifer immer attraktiver, gezielt Mining-Malware zu entwickeln, die auf dem Computer eines Nutzers im Hintergrund läuft, Computer-Ressourcen stiehlt und legitime Prozesse sowie die Leistungsfähigkeit des Geräts beeinträchtigt.

Der Prozess, mit dem Crypto generiert wird, nennt sich „Mining“ oder „Schürfen“. Nutzer konkurrieren miteinander und versuchen, der Erste zu sein, der ein mathematisches Problem löst. Derjenige Nutzer, der das Problem zuerst löst, wird mit einer Cryptowährung belohnt, und der Wert der Währung wird der Blockchain hinzugefügt. Die Blockchain ist eine Art Register, das an eine Kette an Blöcken jedes Mal dann einen neuen Block anhängt, wenn ein Nutzer Crypto neu generiert, ausgibt, oder überweist. Blockchain-Technologie ist im Prinzip eine lange Kette an Daten, die dazu genutzt wird, jederzeit genau identifizieren zu können, wer wie viel Cryptowährung besitzt und wie viel diese wert ist. Um als Erstes ein mathematisches Problem zu lösen, ist eine große Menge an Computerresourcen erforderlich. Bevor Cryptowährungen so beliebt waren wie heute, konnte ein Nutzer mit einem Desktop-Computer und einer guten Grafikkarte einfach zuhause Crypto schürfen. Nun jedoch sind große sogenannte „Mining Farms“ notwendig, um Crypto in einer so großen Menge zu generieren, dass sich der Zeitaufwand und die Kosten für Strom und Maschinen lohnt.

Es ist durchaus legitim, als Gruppe gemeinsam eine Farm an Computern zu betreiben, Crypto zu schürfen und die Gewinne untereinander zu teilen. In einem Cryptojacking-Angriff nutzt ein Angreifer jedoch Malware oder schadhafte Javascript-Webseiten, um fremde Computer zum Schürfen zu missbrauchen. Nachdem die Malware unbemerkt auf dem Computer installiert wurde, schürft sie heimlich Crypto und überweist sie auf den Account des Angreifers. Lokale Malware ist viel langlebiger als Javascript-Angriffe, weil die Malware erst aufhört zu arbeiten, wenn sie von einem Computer entfernt wird. Javascript-Angriffe nutzen die Computer-Ressourcen eines Nutzers nur solange, wie dieser sich auf einer Website aufhält. Wenn das Browser-Fenster schließt, hört auch der Angriff auf und die Computer-Ressourcen werden wieder freigegeben.

Eine weitere Art eines Mining-Virus ist Malware, die den privaten Schlüssel eines Nutzers stiehlt, indem sie mithilfe eines Keyloggers das Passwort mitschneidet oder die Zwischenablage abgreift. Ein privater Schlüssel ist wie ein Passwort, das Zugriff auf den Crypto-Account eines Nutzers gibt. Wenn ein Angreifer in den Besitz eines privaten Schlüssels gelangt, kann er den Account leeren und die Cryptowährung auf seinen eigenen Account transferieren. Diese Angriffe können einen Schaden in Millionenhöhe verursachen, wenn sich ein Nutzer nicht adäquat dagegen schützt.

Gute Cryptojacking-Malware wird sich selbst drosseln, um unerkannt zu bleiben, aber die meisten Angreifer nutzen einfach so viele Ressourcen wie möglich auf einem Computer, bis die Malware entfernt wird. Wenn Ihr Computer einen hohen CPU- und Speicherverbrauch hat, obwohl nur wenig Software im Hintergrund läuft, könnten Sie das Ziel eines Cryptojacking-Angriffs sein. Ein hoher Ressourcenverbrauch verlangsamt den Computer, sodass gewöhnliche Prozesse plötzlich nur noch schwerfällig laufen. Das Task Manager Tool von Windows zeigt den Ressourcenverbrauch an. Klicken Sie dafür mit der rechten Maustaste auf die Software-Leiste und wählen Sie den Task Manager. Dort klicken Sie auf den Tab „Leistung“.

Dieser Screenshot zeigt den CPU-Verbrauch. Wenn sich hier ein hoher CPU-Ausschlag zeigt (über 90%), ohne dass auf dem Computer eine entsprechende Anzahl an Programmen läuft, kann dies darauf hindeuten, dass Malware im Hintergrund läuft. Bei Cryptojacking schlägt der Verbrauch ebenso aus. Neben einem hohen Verbrauch ist Überhitzung des Geräts ein weiteres Zeichen für Cryptojacking.

Bekannten Mining-Viren können Antiviren-Programme erkennen, bevor sie eine Gelegenheit bekommen, sich auszuführen. Antiviren-Software ist mittlerweile auch besser darin geworden, schädliche Webseiten zu erkennen, inklusive solcher, die Cryptojacking-Javascript-Code enthalten.

Cryptojacking kommt mittlerweile nicht mehr so häufig vor wie auf dem Höhepunkt der Crypto-Welle. Gewitzte Angreifer infizieren aber immer noch beliebte Webseiten mit Cryptojacking-Malware, weil sie wissen, dass eine gut besuchte Webseite mehr Ressourcen ergibt. 2017 konnten Cybersecurity-Experten feststellen, dass die Online-Streaming-Website Showtime Cryptojacking-Malware enthielt. Im Februar 2018 wurde Cryptojacking auf der Website der Los Angeles Times gefunden. Wie viel Geld mit Cryptojacking gemacht wird, ist schwer zu sagen, jedoch wird geschätzt, dass es sich um einen Millionenbetrag handeln könnte. 2017 gaben Experten ihre Schätzung bekannt, wonach das Smominru-Cryptomining-Botnet Crypto in Höhe von 3,6 Millionen Dollar schürfen konnte, indem es schätzungsweise 500.000 Geräte infizierte.

Durch Diebstahl von Benutzernamen und Passwörtern können sich Angreifer Zugang zu einem System verschaffen und Hintergrundprozesse installieren, die Cryptowährungen stehlen. Die PowerGhost-Malware stiehlt Windows-Zugangsdaten und nutzt die populäre EternalBlue-Sicherheitlücke, um sich auf andere Windows-Geräte auszubreiten. PowerGhost versucht, Antiviren-Software sowie andere konkurrierende Cryptomining-Software zu deaktivieren.

Der Crypto-Mining-Wurm Graboid verbreitet sich über Docker-Container, die frei und ungesichert über das Internet zugänglich sind. Graboid macht sich Docker-Ressourcen zunutze, um Cryptowährungen zu schürfen. Es wird geschätzt, dass Graboid bereits über 2.000 Docker-Container infiziert hat.

Eine andere Cryptojacking-Software namens MinerGate ist so programmiert, dass sie aufhört zu schürfen, sobald ein Nutzer den Computer aktiv nutzt. Dadurch verhindert MinerGate, entdeckt zu werden, weil Nutzer keine Auffälligkeiten während ihrer normalen Computernutzung feststellen. MinerGate bleibt so länger auf einem System aktiv.

Häufig schleusen Angreifer Cryptojacking-Code in beliebte Open-Source-Software, die in Github-Repositories gespeichert ist, ein, indem sie die Software forken und so vorgeben, eine legitime Änderung vorzunehmen. Nur wenige Zeilen Code sind notwendig, um Cryptojacking hinzuzufügen. Inmitten von hunderten legitimen Code-Zeilen fallen sie häufig nicht auf. Sind sie erstmal Teil einer neuen Software-Version, die von Nutzern heruntergeladen wird, kann sich die Malware auf potentiell tausende Maschinen verbreiten, inklusive den Servern von Unternehmen, die oftmals über extensive Computer-Ressourcen verfügen.

Cryptojacking lässt sich am effektivsten verhindern, wenn erst gar keine Malware auf ein Gerät gelangt. Sollten Sie verdächtige ausführbare Dateien herunterladen, sollte gute Antiviren-Software die Malware daran hindern, sich auszuführen. Diese Methode ist jedoch nicht für alle Arten von Cryptojacking gleichermaßen verlässlich. „Zero Day Software“, das heißt ganz neue, noch weitgehend unbekannte Malware ist so programmiert, dass sie mit den gängigen Methoden nicht entdeckt werden kann. Zum Teil deaktiviert diese sogar das Antiviren-Programm, um zu verhindern, dass sie entfernt wird.

Für Unternehmen gibt es Sicherheitslösungen, die ausgehenden Malware-Traffic erkennen und überwachen. Firewalls können ausgehenden Traffic stoppen, wenn die Schadsoftware versucht, sich mit einem externen Server zu verbinden. Wenn verdächtiger Traffic erkannt wird, sollte die Überwachungssoftware einen Administrator benachrichtigen, damit dieser dem Vorgang nachgehen kann.

Ist Cryptojacking auf einer Website enthalten, reicht es, das Fenster zu schließen, um das Problem zu beheben. Der Ressourcenverbrauch wird auf einer schadhaften Cryptojacking-Seite in die Höhe schießen, weshalb ein Computer manchmal abstürzt. Sobald der Browser-Tab geschlossen ist, sollte das Gerät wieder zu einem normalen Ressourcenverbrauch zurückkehren.