Der Aufstieg des Cryptojacking überraschte diejenigen in der Crypto-and-Security-Welt nicht. Tatsächlich war das einzig Überraschende vielleicht die Zeit, die böswillige Akteure brauchten, um Cryptojacking für die Suche nach Kryptowährung zu nutzen.

Als der Kryptowährungsboom Ende 2017 Einzug hielt, kam es auch zu einem plötzlichen Anstieg böswillige Cryptojacking-Vorfälle.

Die phänomenalen Spitzen des Kryptowährungsbooms sind längst vorbei; Kryptowährungsmärkte sind etwas stabil, wenn auch immer noch unvorhersehbar. Hat der gesunkene Preis mit einer Verringerung der Cryptojacking-Vorfälle korreliert? Beziehen sie sich überhaupt? Folgendes müssen Sie wissen:.

Was ist Cryptojacking??

Cryptojacking ist der Oberbegriff für einen böswilligen Angriff, bei dem ahnungslose Benutzer ihre Systemhardware entführt haben, um die Kryptowährung abzubauen. Die Grundvoraussetzung eines Cryptojacking-Browserangriffs ist:

  • Ein ahnungsloser Benutzer landet auf einer gefährdeten Webseite.
  • Die Webseite enthält ein kleines Stück JavaScript, das den Cryptojacking-Code enthält.
  • Der Cryptojacking-Code entführt die System-CPU und verwendet Mining-Kryptowährung, normalerweise Monero.
  • In einigen Fällen öffnet das JavaScript ein minimiertes, verstecktes Browserfenster. Wenn der Benutzer die Site verlässt, wird das illegale Crypto-Mining fortgesetzt.
  • Die meisten Cryptojacking-Angriffe enden jedoch, wenn die Registerkarte “Website” geschlossen wird.

Cryptojacking ist nicht nur browserbasiert. Es gibt verschiedene Arten von Malware, die nach der Infektion Ihres Systems die Kryptowährung abbauen. Die meisten Malware-Programme versuchen zu schweigen, aber Cryptojacking-Malware ist leiser als die meisten anderen. Je länger eine Cryptojacking-Malware-Variante stumm bleiben kann, desto größer ist die potenzielle Belohnung für den Angreifer.

Cryptojacking ist also Diebstahl. Die ahnungslosen Benutzer verlieren nicht direkt Geld, aber sie verlieren Systemressourcen, um den finanziellen Gewinn eines anderen zu erzielen. Kryptojacking ist zwar böswillig, hinterlässt jedoch keinen langfristigen Schaden für das Zielsystem, obwohl die CPU für kurze Zeit mit maximaler oder nahezu maximaler Kapazität ausgeführt wird.

Warum verwendet Cryptojacking Systemressourcen??

Kryptowährung wächst nicht auf Bäumen. Nein, es wächst auf Servern und wartet darauf, dass die richtigen Bergleute kommen und es freigeben. Cryptojacking-Skripte verwenden dazu hauptsächlich die System-CPU.

Krypto-Netzwerke verwalten Transaktionen über die Blockchain. Jede Netzwerktransaktion wird einem Block hinzugefügt. Der Block wird zur Überprüfung an ein Netzwerk verbundener Bergleute verteilt. Jeder Miner verfügt über eine Kopie der Kryptowährungs-spezifischen Blockchain und kann Transaktionen für dieses Netzwerk validieren und verarbeiten.

Wenn der neue Block eintrifft, verarbeitet das Bergmannssystem komplexe Gleichungen, um den Blockinhalt zu überprüfen. Bei der Überprüfung wird der Block zur Blockchain hinzugefügt, und die Bergleute erhalten eine Auszahlungsbelohnung für ihre Bemühungen. Im Fall von Bitcoin beträgt die Belohnung 12,5 BTC, aufgeteilt auf jeden, der einen Beitrag leistet.

Der Schlüssel zum Erfolg des Crypto-Mining liegt in der Geschwindigkeit und der Verarbeitungsleistung. Wie schnell kann Ihr System die Transaktionen innerhalb des Blocks überprüfen? Bitcoin-Mining ist im Wesentlichen für alle nutzlos, die keine spezielle Crypto-Mining-Hardware verwenden. Das schiere Volumen an Bergbauleistung übertönt einfach einen winzigen Heim-Desktop-Computer.

Wenn nicht Bitcoin, was sind sie Bergbau?

Selbst wenn der Bitcoin-Preis von der berauschenden Marke von über 19.000 USD auf seine aktuellen Höchst- und Tiefststände zurückfiel, ist der Bitcoin-Abbau nicht zugänglich. Darüber hinaus verwenden Ethereum- und ERC-20-basierte Token GPUs, um Kryptowährungen abzubauen. Also, was versuchen die Cryptojacker abzubauen??

In den meisten Fällen werden in Browser-Cryptojacking-Skripten und Cryptojacking-Malware Monero abgebaut. Die leichte, auf Datenschutz und Anonymität ausgerichtete Kryptowährung lässt sich leichter abbauen als Bitcoin und bietet den Crypto-Mining-Dieben theoretisch nachträglichen Schutz. Aber nicht alles. Wie Sie weiter unten im Artikel lesen werden, werden Bitcoin durch mehrere erweiterte Cryptojacking-Bedrohungen abgebaut.

Obwohl Monero unendlich einfacher abzubauen ist als Bitcoin, benötigt es dennoch rohe Rechenleistung. Rohe Rechenleistung erfordert Investitionen in Hardware. Und seien wir ehrlich: Wenn die Mining-Diebe die Hardware mit einem winzigen Stück JavaScript stehlen können, warum sollten sie dann nicht versuchen, die Gewinne zu maximieren??

JavaScript Cryptojacking

Das erste weit verbreitete Cryptojacking-JavaScript kam von CoinHive, einem Unternehmen, das die Art und Weise, wie wir mit dem Internet interagieren, und die Werbegewinne ändern möchte, die im Wesentlichen alles unterstützen, was stattfindet.

CoinHives Vision war es, autorisiertes Crypto-Mining als Ersatz für Werbung zu verwenden. Websites könnten immer noch ein Einkommen erzielen, das auf Seitenaufrufen und der auf der Website verbrachten Zeit basiert, und Benutzer könnten Werbung vermeiden, ohne sich für die Verwendung eines Werbeblockers schrecklich zu fühlen (und damit den Erstellern von Inhalten im Wesentlichen ihre fairen Gebühren zu rauben)..

Die berüchtigte Website für Piraterie und Torrenting von Inhalten, The Pirate Bay, war eine der ersten, die mit dem CoinHive-Modell experimentierte.

Coinhive Cryptojacking Javascript

Leider dauerte es nicht lange, bis böswillige Akteure erkannten, dass sie das Mining-Skript von CoinHive leicht für schändlichere Zwecke verwenden konnten. Das ursprüngliche Skript verfügt über einen Befehl zum prozentualen Einsatz von CPU-Mining. Ursprünglich auf 30% festgelegt, damit Benutzer ihren Browser weiterhin verwenden können, haben Cryptojacker diesen Wert auf allen Kernen auf 100% erhöht, um den Gewinn für die vermutlich kurze Zeit zu maximieren, in der die meisten Benutzer auf einer böswilligen Zielseite verweilen.

Um CoinHive gegenüber fair zu sein, erkannten sie, was los war, und gaben ein Update für ihr Skript heraus. Die neuere Version, bekannt als AuthedMine, bietet Benutzern die Möglichkeit, sich für den Crypto-Mining-Prozess zu entscheiden und seinen friedlichen und ursprünglichen Zweck als Werbealternative wiederzugewinnen. Das Opt-out ist jedoch immer noch ein Opt-out. Das heißt, Website-Eigentümer müssen AuthedMine nicht verwenden und sind nicht verpflichtet, Sie darüber zu informieren, was Ihre CPU lebendig frisst.

Cryptojacking Evolution

Cryptojacking entwickelt sich weiter. Wie alle profitablen und weitgehend risikofreien Cyber-Angriffe wollen böswillige Akteure immer größere Gewinne für ihre Investitionen und sind bereit, Cryptojacking voranzutreiben, um dies zu tun.

  • In den frühen Tagen des Cryptojacking war die Verwendung einer Umleitungsschleife eine der einfachsten Methoden, um den Gewinn zu steigern. Ahnungslose Opfer werden über eine Reihe von Webseiten gesendet, bevor sie auf einer landen, auf der ein Crypto-Mining-Skript installiert ist.
  • Eine andere bereits erwähnte Technik ist das Öffnen eines neuen Browserfensters, das minimiert und hinter der Taskleiste versteckt wird. Das Minutenbrowserfenster ist hinter der Systemuhr versteckt und kann dann „frei“ ausgeführt werden, bis der Benutzer bemerkt, dass etwas im Gange ist.
  • Es wurde festgestellt, dass einige Browsererweiterungen Crypto-Mining-Skripte verbergen, ohne den Benutzer zu benachrichtigen. Einige Erweiterungen wurden ihren Entwicklern gestohlen, das Cryptojacking-Skript wurde injiziert und dann erneut in den Erweiterungsspeicher hochgeladen oder aktualisiert. (Tatsächlich hat Google schnell alle Chrome-Erweiterungen verboten, die Cryptojacking-Skripte missbrauchen.)

Aber das ist nicht alles. Heimanwender haben Computer mit relativ geringem Stromverbrauch. Diejenigen, die Cryptojacking-Kampagnen durchführen, stellten schnell fest, dass es größere Cryptojacking-Fische zu braten gibt: Unternehmen mit leistungsstarken Supercomputern.

Im Februar 2018 gab der Elektrofahrzeughersteller Tesla bekannt, Opfer eines Cryptojacking-Angriffs zu sein. RedLock Cloud Security Intelligence aufgedeckt dass eine anfällige Kubernetes-Administrationskonsole Anmeldeinformationen für eine Tesla Amazon Web Service-Umgebung enthüllte und die Hacker die enorme Rechenleistung sofort auf Crypto-Mining umstellten. Der britische Versicherer Aviva und das internationale Unternehmen für digitale Sicherheit Gemalto waren ebenfalls der gleichen Sicherheitslücke in Bezug auf Krypto-Jacking ausgesetzt.

Andere Berichte deuten darauf hin, dass bereits anfällige Internet of Thing-Geräte auch ein Hauptziel für Cryptojacking sind. Das Fortinet-Bedrohungslandschaftsbericht [PDF] stellte fest, dass 23 Prozent der Befragten Cryptojacking-Malware ausgesetzt waren. IoT-Geräte sind aufgrund ihrer schlechten Sicherheit, ihres großen Volumens und ihres Status “Immer aktiv” ein attraktives und einfaches Ziel.

Cryptojacking ist nicht der einzige Angriff, den Crypto-Benutzer und Hodler zur Kenntnis nehmen müssen. Bei einem SIM-Tausch-Angriff wird Ihre SIM-Karte in das Smartphone einer anderen Person umgewandelt, auf der Ihre Kryptokonten bereinigt werden. So schützen Sie sich vor einem SIM-Swap-Angriff.

Cryptojacking Malware Explosion

Andere Sicherheitslücken tragen jedoch auch zur Cryptojacking-Landschaft bei. Erinnern Sie sich an den massiven WannaCry-Lösegeldwurm von 2017? WannaCry war das direkte Ergebnis einer befreiten Fundgrube bisher unbekannter Zero-Day-Exploits, die die NSA verdeckt entwickelt und angehäuft hatte. Die Shadow Brokers, eine Hacking-Gruppe mit angeblichen Verbindungen zur russischen Regierung, haben zahlreiche Exploits veröffentlicht, darunter EternalBlue (auch ETERNALBLUE genannt), das für die schnelle Verbreitung des WannaCry-Lösegeldwurms von entscheidender Bedeutung war.

Hacker auf der ganzen Welt werden darauf aufmerksam, wenn ein Tool solche Verwüstungen verursacht (nur gerettet vom Sicherheitsforscher Marcus Hutchins, auch bekannt als MalwareTech, der jetzt in den USA einer Reihe von Hacking-Vorwürfen ausgesetzt ist). Kombinieren Sie EternalBlue mit einer Malware-Nutzlast, die Kryptowährung und Bratsche abbaut: Plötzlich haben wir WannaMine. WannaMine wurde zuerst von Panda Security aufgegriffen und ist wie sein Cousin als Lösegeldwurm äußerst schwer zu erkennen und zu blockieren.

Cryptojacking-Malware-Kampagnen im Nationalstaat

Es sind jedoch nicht nur “normale” Hacker, die Cryptojacking-Malware einsetzen. Die staatlich geförderte nordkoreanische Hacking-Gruppe Lazarus (von Sony Hack Infamy) hat einen Cryptojacking-Trojaner eingesetzt, um gegen mehrere hochkarätige Bankinstitute vorzugehen. Abgesehen von der bemerkenswerten direkten Ausrichtung auf Bank- und Finanzorganisationen greift der Lazarus „AppleJeus“ fast ausschließlich MacOS-Systeme an, wobei sich ein Linux-Exploit in der Entwicklung befindet.

Darüber hinaus ist Lazarus seit dem vermutlich mäßig erfolgreichen AppleJeus-Angriff direkt mit der Ryuk-Cryptojacking-Malware verbunden, die zum Zeitpunkt des Schreibens über 600.000 US-Dollar gestohlen hatte. Es ist nicht nur eine ausgefallene Spekulation. Die Ryuk-Cryptojacking-Malware ist ein Markenzeichen der Hermes-Malware-Variante der Lazarus-Gruppe (dieselbe Variante, die verwendet wurde, um Sicherheitsdienste während des versuchten 60-Millionen-Dollar-Überfalls auf die Far Eastern International Bank in Taiwan abzulenken). Die Ryuk-Malware ist insofern interessant, als die Ziele von Hand ausgewählt zu sein scheinen. Das heißt, jede Lösegeldnotiz ist anders, stellt eine andere Forderung und so weiter. Fast ein persönlicher Service.

Wird Cryptojacking schlimmer??

Nun, die Rate des Krypto-Jacking hängt, wie zu erwarten, direkt mit dem Preis der Kryptowährungen zusammen. Der Fortinet Threat Landscape Report (oben verlinkt) veranschaulicht dies anhand der folgenden Tabelle:

Fortinet Cryptojacking Bitcoin Preisdiagramm

Als der Preis für Bitcoin sank, sanken auch die Vorfälle von Cryptojacking.

Andere Berichte bieten jedoch nicht die gleichen positiven Grenzinformationen. Das McAfee Labs Threats Report Juni 2018 [PDF] geben an, dass “die Anzahl der gesamten Coin Miner-Malware im ersten Quartal um 629% auf mehr als 2,9 Millionen Proben gestiegen ist”. In dem Bericht wird weiter ausgeführt und bestätigt, dass Kryptojacking im Vergleich zu „etablierten Cyberkriminalitätsaktivitäten wie Datendiebstahl und Ransomware einfacher, unkomplizierter und weniger riskant ist“.

Darin sehen Sie die Attraktivität von browserbasierten Cryptojacking- und Cryptojacking-Malware-Varianten, insbesondere im Vergleich zu anderen finanziell motivierten Angriffen. Ransomware erfordert anfängliche Investitionen, um die Infektion auf genügend Opfer zu übertragen, während Opfer weiterhin die Möglichkeit haben, das Lösegeld zu ignorieren und nicht zu zahlen, insbesondere wenn das Opfer häufig Systemsicherungen durchführt.

Cryptojacking geht nirgendwo hin. Und wenn die Preise für Kryptowährungen ernsthaft steigen, ist mit mehr Malware zu rechnen.

Cryptojacking ist nicht der einzige kryptobasierte Betrug. Hier sind fünf weitere Kryptowährungsbetrügereien und Betrugsfälle, die Sie vermeiden können.