Was ist Kryptojacking und wie kann man sich hiervor schützen?

Wir leben in einem digitalen Zeitalter, in dem mehr Menschen als je zuvor ihre finanziellen Transaktionen und Einkäufe online tätigen. Und mit dieser Entwicklung ging auch der Aufstieg der Kryptowährungen einher. Dabei waren Krypto-Währungen eigentlich eine zufällige Erfindung von Satoshi Nakamoto, wobei es sich hierbei um ein Pseudonym handelt und es bis heute unklar ist, welche Person oder Personengruppe sich dahinter verbirgt. Das ursprüngliche Ziel, ein zentrales Geldsystem zu schaffen, konnte nicht erreicht werden, sodass Nakamoto stattdessen ein digitales System entwickelte, das auf der Genauigkeit und Transparenz von Konten, Salden und der Aufzeichnung von Transaktionen basierte, um doppelte Ausgaben zu verhindern. Diese innovative, globale Technologie wurde seitdem von Jahr zu Jahr weiterverbreitet und fand immer höhere Akzeptanz.

Bitcoin war die erste Kryptowährung, mit der sich digitale Transaktionen genau aufzeichnen ließen. Seit der Gründung im Jahr 2009 sind viele weitere Kryptowährungen auf den Markt gekommen, so gab es im Dezember 2019 2.995 verschiedene Arten. Doch mit den (finanziellen) Vorteilen und der starken Verbreitung von Kryptowährungen kamen auch neue Bedrohungen und Risiken. So ist der Aufstieg von Ransomware stark mit dem Aufstieg der Kryptowährungen verknüpft. Gleichzeitig bietet aber auch das Schürfen vor allem aufgrund des geringeren Risikos und des höheren finanziellen Gewinnpotenzials enorme Anreize für Cyberkriminelle. Kryptojacking ist in der Durchführung einfacher und dabei schwerer aufzudecken als Lösegeldangriffe und ermöglicht es Cyberkriminellen, kompromittierte Computersysteme und Netzwerke zu nutzen, um Kryptowährungen zu schürfen.

 

Was ist Kryptomining?

Kryptomining ist der Tausch von Computer-Verarbeitungszyklen gegen Geld in Form einer Kryptowährung. Kryptomining, das im Deutschen auch als „Schürfen“ bezeichnet wird, ist der Prozess, bei dem Kryptowährungs-Transaktionen in das Blockchain-Kontobuch eingefügt werden. Jedes Mal, wenn eine Kryptowährungs-Transaktion stattfindet, aktualisiert ein Kryptowährungs-Miner die Blockkette und überprüft die Authentizität der Information. Dieser Schürf-Prozess wird von Kryptominern durchgeführt. Diese nutzen hochleistungsfähige Server und spezialisierte Hardware, um eine Hash-Funktion zu berechnen und zu verwenden, die es dem Block erlaubt, sich in die Blockchain einzufügen. Im Gegenzug erhält der Schürfer dafür einen gewissen Kryptowährungs-Betrag. Der finanzielle Aufwand für das Schürfen (etwa in Bezug auf nötige Hardware und Stromverbrauch) ist angesichts der im letzten Jahr deutlich gefallenen Kurse recht hoch. Aber genau hierin liegt der Anreiz für Kryptojacking, bei dem Hacker Computerressourcen ahnungsloser Opfer stehlen bzw. kapern, wobei das Risiko, entdeckt zu werden, viel geringer ist als bei anderen Cyberverbrechen.

 

Was ist Kryptojacking?

Unter Kryptojacking versteht man das böswillige Kryptomining durch Cyberkriminelle. Dafür dringen sie sowohl in Geschäfts- als auch in Privatcomputer, Laptops und mobile Geräte ein, um eine entsprechende Software zu installieren. Der Schadcode ist einfach zu installieren, läuft im Hintergrund und ist schwer zu erkennen. Mit nur wenigen Zeilen Code ist es Cyberkriminellen möglich, die Ressourcen eines jeden Computers zu kapern. Bei den infizierten Geräten führt dies zu langsameren Reaktionszeiten, erhöhter Prozessorauslastung und Überhitzung sowie zu höheren Stromrechnungen. Die Kernidee ist also, dass Hacker fremde Computer- und Geräteressourcen nutzen, um die Rechenarbeit, also das Mining, für sie zu erledigen.

 

Wie funktioniert Kryptojacking?

Um ihre Ziele zu infizieren, nutzen Kryptojacker vor allem drei Methoden: Durch heruntergeladene Malware, die Kryptomining-Skripte ausführt, Kapern von IT-Infrastrukturen und den Zugriff auf Cloud-Dienste. Beim dateibasierten Kryptojacking wird Malware heruntergeladen und eine Datei ausgeführt, die ein Kryptomining-Skript in der gesamten IT-Infrastruktur verbreitet. Um dies zu erreichen, setzen Cyberkriminelle vor allem auf böswillige E-Mails (Phishing). Wenn ein Benutzer auf den Anhang oder Link klickt, wird Code ausgeführt, der das Kryptomining-Skript auf den Computer herunterlädt. Dieses Skript arbeitet dann im Hintergrund ohne Wissen des Benutzers. Kryptojacking-Angriffe können jedoch auch direkt in einem Webbrowser erfolgen, wobei die IT-Infrastruktur für das Schürfen von Kryptowährung genutzt wird. Bei diesen browserbasierten Angriffen erstellen Hacker ein Kryptomining-Skript und betten dieses Skript dann in zahlreiche Websites ein. Das Skript wird automatisch ausgeführt, wobei der Code auf den Computer des Benutzers heruntergeladen wird. Diese bösartigen Skripte können in Anzeigen oder auch in anfällige, veraltete WordPress-Plugins eingebettet werden. Beim Cloud-Kryptojacking durchsuchen Angreifer die Dateien und den Code eines Unternehmens nach API-Schlüsseln, um auf dessen Cloud-Services zuzugreifen. Sobald der Zugriff erfolgt ist, schöpfen Hacker CPU-Ressourcen für das Kryptomining ab, was zu einem enormen Anstieg der Kosten führt. Mit dieser Methode können Hacker ihre Kryptojacking-Aktivitäten erheblich beschleunigen. Wie aber läuft das Kryptojacking nun ab?

  1. Kompromittierung eines Assets, um ein Skript einzubetten: Durch eine der drei genannten Methoden wird der Kryptomining-Code in ein entsprechendes Asset eingebettet.
  2. Ausführung des Kryptomining-Skripts: Ist der Code eingebettet, warten Kryptojacker darauf, dass ein Opfer das Skript durch das Öffnen eines Anhangs, Klicken auf einen Link oder den Besuch einer Website mit infizierter Werbung ausführt.
  3. Start des Kyptominings: Nach der Ausführung läuft das Kryptomining-Skript im Hintergrund, ohne Wissen des Benutzers.
  4. Lösen von Algorithmen: Das Skript verwendet die gekaperte Computerleistung, um komplexe Algorithmen zu lösen und erstellt damit einen so genannten Block, der dann der Blockchain hinzugefügt wird.
  5. Erzielen von Gewinnen: Jedes Mal, wenn ein Hacker der Kette einen neuen Block hinzufügt, erhält er Kryptogeld-Münzen. Mit äußerst geringem Aufwand und Risiko erhalten Cyberkriminelle auf diese Weise Kryptowährung, die sie anonym direkt in ihre digitale Brieftasche stecken können.

 

Wie man Kryptojacking verhindert: Tipps und Taktiken

Klaus Nemelka, Technical Evangelist von Varonis

Auch wenn die Erkennung einer Kryptomining-Kompromittierung schwierig ist, gibt es einige vorbeugende Maßnahmen, die man ergreifen kann, um seine Computer und Netzwerksysteme zu schützen:

Schulen Sie Ihr IT-Team: Um Kryptojacking zu verstehen und zu erkennen, sollten sich die Sicherheitsverantwortlichen einem gezielten Training unterziehen. Dadurch sind sie in der Lage, schon die ersten Anzeichen eines Angriffs zu identifizieren und sofort Maßnahmen zur weiteren Untersuchung und Abwehr zu ergreifen.

Sensibilisieren Sie Ihre Mitarbeiter: Gerade bei Kryptojacking sind die IT-Teams auf Hinweise der Mitarbeiter angewiesen. Sie müssen sich darauf verlassen können, dass sie sofort informiert werden, wenn die Computer langsam laufen oder überhitzt sind. Auch sollten die Mitarbeiter für eine grundlegende Cyberhygiene sensibilisiert werden, also etwa was die Gefahren von Phishing anbelangt.

Setzen Sie Anti-Kryptomining-Erweiterungen ein: Kryptojacking-Skripte werden häufig in Webbrowsern ausgeführt. Verwenden Sie deshalb Browser-Erweiterungen, um Kryptominer im Web zu blockieren, wie z.B. minerBlock, No Coin und Anti Miner.

Verwenden Sie Ad-Blocker: Auch in Web-Anzeigen werden oftmals Kryptomining-Skripte eingebettet. Die Verwendung eines Werbeblockers kann sowohl bösartigen Kryptomining-Code erkennen als auch blockieren.

Deaktivieren Sie JavaScript: Wenn Sie online surfen, kann die Deaktivierung von JavaScript verhindern, dass Ihr Computer mit Kryptojacking-Code infiziert wird. Dabei ist zu beachten, dass die Deaktivierung von JavaScript jedoch viele der Funktionen, die Sie beim Surfen benötigen, blockiert.

Von Klaus Nemelka, Technical Evangelist von Varonis Systems