Was ist Kryptojacking?

Wie funktioniert Kryptojacking?

Beim Kryptojacking wird Malware oder Schadcode verwendet, um die Rechenleistung der angegriffenen Geräte (Laptops, Desktop-Computer, Smartphones usw.) für das Kryptomining einzuspannen.

Und so läuft Kryptojacking ab:

1. Übertragung/Infektion: Angreifer nutzen meist Social-Engineering-Verfahren wie Phishing oder bösartige Websites, um Kryptomining-Code auf fremden Geräten auszuführen. Kompromittierte Websites und Cloud-Services können dann unbemerkt Rechenleistung abgreifen.
2. Ausführung: Kryptomining-Skripte werden auf einem kompromittierten Gerät ausgeführt und nutzen dessen CPU bzw. GPU, um komplizierte kryptografische Rätsel zu lösen. Das Gerät wird dabei häufig in ein Botnet eingegliedert, das die Rechenleistung zahlreicher infizierter Endgeräte miteinander kombiniert, um dem Miner einen Vorteil zu verschaffen.
3. Gewinn: Der Miner, der mit seiner (gekaperten) Rechenleistung das kryptografische Rätsel zuerst löst, erhält eine Belohnung in Form von Kryptowährung. Die Kryptojacking-Opfer gehen dagegen leer aus – und tragen sogar indirekt die Kosten.

Anders als offensichtliche Ransomware wird Kryptojacking-Software so unauffällig wie möglich ausgeführt, um Angriffsdauer und Gewinnspanne zu erhöhen. Mitunter werden Verschlüsselungs- und Antianalysetechniken verwendet, um Sicherheitsmechanismen zu umgehen oder die CPU-Auslastung je nach Useraktivität zu drosseln und keinen Verdacht zu erregen.

Woher kommt Kryptojacking-Malware?

Kryptojacking-Malware kommt an ähnlichen Stellen wie andere Malware vor. Meistens findet man sie im Zusammenhang mit:

• Kompromittierten Websites, Plug-ins oder Browsererweiterungen, die mit Schadcode durchsetzt sind
• Browserbasiertem „Drive-by“-Mining auf eigentlich harmlosen Websites
• Bösartigen Downloads, die sich als harmlose Software tarnen und insbesondere kostenlose Apps und Torrents betreffen
• Phishing-Mails, die infizierte Anhänge enthalten oder auf bösartige Websites verweisen
• Bösartige Werbung mit Kryptojacking-Skripten, die ausgeführt werden, wenn man sie anklickt bzw. aufruft

Was bedeutet Kryptojacking-Malware für Ihr Unternehmen?

Aus unternehmerischer Sicht sind die täglichen Kosten für Kryptojacking zu vernachlässigen. Sie können sich aber schnell auf drei- oder vierstellige monatliche Beträge summieren − und bergen noch viele weitere Gefahren:

• Verminderte Systemleistung, die die User frustriert und die Produktivität beeinträchtigt
• Höherer Stromverbrauch und Stromkosten, die das Geschäftsergebnis negativ beeinflussen und Umweltzielen zuwiderlaufen
• Hardwareschäden, die zu ungeplanten Kosten hinsichtlich Wartung und Ersatz führen können

Beispiele für Kryptojacking

Trotz der Risiken hat bislang kein Kryptojacking-Angriff die Bekanntheit von Angriffen auf Lieferketten und Ransomware wie WannaCry oder dem Hackerangriff auf SolarWinds erreicht. Denn anders als diese sind sie eher unauffällig, aber nicht minder gefährlich. Hier einige Beispiele:

Smominru-Botnet:
Smominru hat seit 2017 weltweit hunderttausende Windows-Systeme infiziert, um die Kryptowährung Monero zu schürfen. Es verbreitet sich, indem es RDP-Anmeldeinformationen erzwingt und Software-Schwachstellen ausnutzt und kann sogar u. a. Ransomware und Trojaner auf den kompromittierten Systemen ausführen.

The Pirate Bay
: Mindestens seit 2018 wurde auf der Filesharing-Seite The Pirate Bay JavaScript-Code von dem inzwischen eingestellten Mining-Dienst Coinhive ausgeführt. Das Kryptojacking-Skript wurde ohne Zustimmung der User – und ohne Widerspruchsmöglichkeit – ausgeführt, solange diese auf der Website unterwegs waren. Die gekaperte Rechenleistung wurde für die Gewinnung von Monero eingesetzt.

Graboid
: Graboid wurde 2019 entdeckt und ist ein Wurm, der ungeschützte (also dem Internet ausgesetzte) Docker-Container ausnutzt. Er breitet sich von kompromittierten Hosts auf andere Container und deren Netzwerke aus und kapert dort Ressourcen, um Monero zu schürfen.

Open-Source-Bildbibliotheken
: Ab etwa 2021 kam es zu einem Anstieg an Kryptojacking-Bildern in Open-Source-Repositorys wie Docker Hub. Ende 2022 war Kryptojacking-Code dann das häufigste Merkmal schadhafter Bilder (Google Cloud Cybersecurity Action Team, 2023).

Symptome von Kryptojacking

Kryptojacking-Angriffe halten sich im Hintergrund, um unerkannt zu bleiben. Wer aber weiß, wonach er suchen muss, kann sie entlarven, bevor die Kosten zu hoch werden. Mögliche Anzeichen für Mining-Aktivitäten sind dabei:

• Performanceprobleme wie Verlangsamung, Hängenbleiben, Abstürze oder eine erhöhte Betriebstemperatur
• Hohe CPU/GPU-Auslastung auch bei geringer Beanspruchung (siehe Task-Manager bzw. Aktivitätsanzeige)
• Hoher oder ohne ersichtlichen Grund sprunghaft ansteigender Energieverbrauch
• Ungewöhnlicher Netzwerktraffic wie eine starke ausgehende Kommunikation oder umfangreiche Datenübertragungen mit unbekanntem Bestimmungsort
• Unerklärliche bzw. verdächtige Prozesse, die sich in den gewöhnlichen Hintergrundprozessen verstecken

Wie lässt sich Kryptojacking erkennen und verhindern?

Abgesehen von den üblichen Warnzeichen lassen sich Kryptojacking-Angriffe aber mit einigen einfachen Verfahren verhindern bzw. abwehren.

• User und Teams für Warnzeichen sensibilisieren: User melden Probleme wie Leistungsmängel seltener, wenn sie deren mögliche Tragweite nicht kennen. IT, Helpdesk und NetOps müssen Hinweise auf unbefugtes Kryptomining bei der näheren Prüfung derartiger Meldungen berücksichtigen.
• Indizien durch aktives Suchen finden: Die deutlichsten Anzeichen für Kryptojacking treten nicht unbedingt dort auf, wo sie für die User sichtbar sind. Sicherheits- und Ermittlerteams können aber nach Verhaltensänderungen und anderen subtilen Hinweisen auf Kryptojacking fahnden und diesen ggf. nachgehen.
• Effektive Tools gegen Kryptomining verwenden: Das beste Mittel gegen Kryptojacking ist, solche Bedrohungen von Anfang an zu verhindern. Dazu muss sichergestellt werden, dass sämtliche Pakete von Usern innerhalb wie außerhalb des Netzwerks durchgehend überprüft werden − und zwar mit unbegrenzter TLS/SSL-Prüfkapazität. Mit Zscaler kein Problem!

Zscaler Cryptojacking Protection

Zscaler Internet Access™ (ZIA™) ist eine Kernkomponente der cloudnativen Zscaler Zero Trust Exchange und bietet mit Advanced Threat Protection KI-gestützten Schutz vor Kryptojacking, Ransomware, Zero-Day-Angriffen und Malware.

Mit vorkonfigurierten ZIA-Richtlinien, die ab der ersten Bereitstellung angewendet werden, können Sie Kryptomining-Traffic automatisch blockieren und optional Warnungen anzeigen lassen. ZIA kann über die Zero Trust Exchange selbst verschlüsselten Kryptomining-Traffic erkennen.

Der ZIA-Vorteil:

• Umfassende Inline-Prävention: Eine Inline-Proxy-Architektur ist die einzige zuverlässige Möglichkeit, verdächtige Inhalte und Angriffsversuche unter Quarantäne zu stellen und zu blockieren.
• Inline-Sandbox und ML: Zscaler Sandbox nutzt integriertes ML für erweiterte Analysen und unterbindet so auch neue und schwer erkennbare dateibasierte Angriffe.
• Durchgehende SSL-Überprüfung: Die SSL-Überprüfung mit einer globalen Plattform ist flexibel skalierbar und behält die User innerhalb wie auch außerhalb des Netzwerks im Blick.
• Zscaler-Cloud: Die weltgrößte Security Cloud kommuniziert auf Grundlage von täglich über 300 Mrd. Transaktionen und Bedrohungsdaten Schutzmaßnahmen in Echtzeit.