Was ist Cryptojacking und wie kann sich Ihr Unternehmen dagegen schützen?

Kryptowährungen sind in den letzten Jahren zu einem festen Bestandteil der globalen Finanzwelt geworden. Sie sind extrem beweglich, verhältnismäßig wertbeständig, können für den Erwerb von Produkten und Dienstleistungen eingesetzt werden und auch unter normalen Verbrauchern zunehmend beliebt.

Für Risikofreudige Investoren können sie auch eine Interessante Anlageklasse sein. Mit Kryptowährungen wie z. B. Bitcoin, Ethereum oder Cardano lässt sich im Handumdrehen ein Vermögen verdienen – aber auch verlieren. Die Kurse sind extrem volatil. Sie können innerhalb von Tagen oder Wochen astronomische Höhen erreichen und dann wieder katastrophal abstürzen. Es gibt jedoch auch andere, weniger riskante Möglichkeiten, mit Kryptowährungen Geld zu verdienen – eine davon ist das “Cryptomining”.

Was ist Cryptomining: Ein Erklärungsversuch

Beim Cryptomining werden Kryptowährungs-Transaktionen verarbeitet, verifiziert und zu einem öffentlichen Kontenbuch hinzugefügt. Jede Transaktion ist mit der Transaktion davor und danach verknüpft, wodurch eine Kette von zeitgestempelten Aufzeichnungen entsteht. Genau darum geht es bei einer “Blockchain”.

Einer der Vorteile von Cryptomining ist, dass so gut wie jeder mitmachen kann, ohne in die Währung zu investieren. Wenn Sie z. B. Bitcoin schürfen, erhalten Sie Bitcoin als Entschädigung für das Abschließen von Blöcken mit verifizierten Transaktionen, die der Blockchain hinzugefügt werden. Die Verarbeitung eines Währungsblocks dauert etwa 10 Minuten.

Alles, was Sie brauchen, ist etwas Know-how, um sich mit dem Kryptowährungsnetzwerk zu verbinden, eine zuverlässige Internetverbindung, ein oder zwei gute Server und eine stabile Stromversorgung. Je mehr Serverleistung Ihnen für das legitime Schürfen zur Verfügung steht, desto mehr Blöcke können Sie verarbeiten und desto mehr verdienen Sie.

Doch so einfach ist es nicht. Es gibt auch einen Haken: Miner verdienen nur Geld, wenn sie den Rechenprozess schneller als andere abschließen – und es gibt buchstäblich Hunderte von Minern, die versuchen, denselben Block gleichzeitig zu verarbeiten. Aus diesem Grund suchen Cryptominer ständig nach Möglichkeiten, ihre Hash-Rate (eine Kennzahl für die Rechenleistung zur Verarbeitung von Blöcken) zu erhöhen. Je mehr Hashes pro Sekunde erzeugt werden, desto höher ist der Gewinn theoretisch.

Es gibt allerdings Miner, die das legale Schürfen komplett aufgeben und sich stattdessen dem “Cryptojacking” verschreiben.

Warum Cryptojacking eine wachsende Bedrohung darstellt.

Eigentlich ist Cryptojacking das gleiche wie Cryptomining. Allerdings nutzt der Schürfer beim Cryptojacking unerlaubt einen fremden Computer. In der Regel haben die Opfer keine Ahnung, dass ihre Computer auf diese Weise missbraucht werden. Dabei kommt oft Malware zum Einsatz, die durch Phishing oder andere Hackerangriffe eingeschleust wird.

SonicWall begann im April 2018, die Entwicklung von Cryptojacking genau zu verfolgen. Damals registrierten die SonicWall-Experten fast 60 Millionen Cryptojacking-Angriffe in einem Jahr. Wie im SonicWall Cyber Threat Report 2022 erwähnt, erreichten die Preise für Kryptowährungen in 2021 jedoch neue Höchststände. Damit stieg auch die Anzahl der Hacking-Vorfälle auf 97 Millionen, was einer Zunahme von fast 62 % seit 2018 entspricht.

Anders als bei Ransomware, wo Angreifer auf eine hohe Visibilität ihrer Phishing-E-Mails und -Nachrichten angewiesen sind, verrichten Cryptojacker ihr Werk unerkannt im Verborgenen. Einzig durch die Überwachung der CPU-Leistungsgrafik oder wenn die Lüfteraktivität ungewöhnlich stark ist, können Sie daraus schließen, dass Ihr Netzwerk oder Ihre Geräte betroffen sind.

In den letzten zwei Jahren konnten wir beobachten, dass Cyberkriminelle weniger auf Ransomware und dafür mehr auf andere Aktivitäten wie Cryptojacking setzen. Ein offensichtlicher Grund ist, dass die Rentabilität eines Ransomware-Schemas bzw. -Stamms (der monatelange Entwicklungsarbeit erfordert) sinkt, wenn er in öffentlichen Feeds wie VirusTotal publik gemacht wird.

Wie jeder andere, der ein profitables Geschäft betreibt, achten auch Cyberkriminelle darauf, agil und flexibel zu bleiben. Daher suchen sie aktiv nach alternativen Möglichkeiten, ihre finanziellen Ziele zu erreichen. Cryptojacking ist sehr flexibel, da es sich relativ leicht mit anderen kriminellen Aktivitäten kombinieren lässt.

Der Reiz des Cryptominings.

Angesichts der geringen Kosten und des praktisch nicht vorhandenen Risikos, gibt es viele starke Anreize für Cyberkriminelle, Cryptomining als Geschäftsmodell zu nutzen. Ein Großteil des Cryptominings selbst läuft automatisiert über Software. Durch die hohe Volatilität der Kryptowährungen und die steigenden Energiekosten stehen die Schürfer jedoch unter großem Druck. Im Jahr 2018 konnten legale Cryptominer 100 Dollar am Tag verdienen. Dieser Gewinn hat sich inzwischen allerdings halbiert, und das legale Schürfen ist komplizierter und schwieriger geworden.

Wie der SonicWall Cyber Threat Report feststellt, sind illegale Cryptojacking-Angriffe daher wieder auf dem Vormarsch. Im ersten Quartal 2021 wurden 34,2 Millionen Cryptojacking-Vorfälle registriert – der höchste Wert seit Beginn der Aufzeichnungen durch SonicWall. Noch beunruhigender ist jedoch eine andere Zahl: Im Jahr 2021 war der Dezember mit 13,6 Millionen Cryptojack der mit Abstand schlimmste Monat für Cryptojacking. Auch wenn das nicht an die 15,5 Millionen Vorfälle vom März 2020 heranreicht, genügt es doch für den zweiten Platz – alles andere als eine ideale Ausgangsbasis für das Jahr 2022.

Ist meine Firma von Cryptojacking betroffen?

Kryptoschürfer haben es auf Ihre Rechenleistung abgesehen. Dabei müssen Sie in einem konstanten Balanceakt möglichst viel Profit erzielen und gleichzeitig das Risiko einer Entdeckung möglichst gering halten. Wieviel CPU-Ressourcen die Cyberkriminellen ihren Systemen entnehmen, hängt von ihren Zielen ab.

Begnügen sie sich mit weniger Leistung, ist es für ahnungslose Nutzer schwieriger, den Angriff zu bemerken. Gehen sie aufs Ganze und zapfen mehr Rechenpower ab, können die Hacker ihren Gewinn steigern. Natürlich wirkt sich das in beiden Fällen auf die Performance aus, aber wenn der Schwellenwert niedrig genug ist, kann es schwierig sein, den Miner von einer normalen Software zu unterscheiden.

Administratoren können nach unbekannten Prozessen in ihrer Umgebung suchen. Als Windows-Endbenutzer sollten sie den Sysinternals Process Explorer starten, um zu sehen, was sich in Ihrem System abspielt. Linux- und macOS-Benutzer sollten dafür den System Monitor bzw. den Activity Monitor nutzen.

So wehren Sie sich gegen bösartige Cryptojacker.

Um Kriptominern die Stirn zu bieten, sollten Sie als Erstes die Cryptojacke-Malware am Gateway mithilfe von Firewalls oder einer E-Mail-Security-Lösung (Perimetersicherheit) stoppen. Das ist eine der besten Methoden, um bekannte dateibasierte Bedrohungen auszuschalten.

Da auch Cyberkriminelle bequem sind und gerne alten Code wiederverwenden, ist es relativ einfach, Cryptojackern auf die Schliche zu kommen. SonicWall geht von einer weiter steigenden Anzahl an neuen Cryptojacking-Varianten und -Methoden aus, da die Cryptojacker genügend Zeit haben, weitere Tools zu entwickeln. Weil sich Cryptojacking gut verschleiern lässt, könnte es nach wie vor eine beliebte Methode für Hacker werden. Der relativ kleine und indirekte Schaden für die Opfer macht eine Entdeckung eher unwahrscheinlich und verlängert den Lebenszyklus eines erfolgreichen Angriffs.

Ist der Malware-Stamm unbekannt (neu oder aktualisiert), kann er durch den statischen Filter der Perimetersicherheit schlüpfen. Unbekannte Dateien werden an eine Sandbox weitergeleitet, wo sie genau geprüft werden.

Die SonicWall Multi-Engine-Sandbox Capture Advanced Threat Protection (ATP) nutzt die Real-Time (RTDMI)™-Technologie und kann schwer zu fassende Malware, die zwar eine Engine, nicht aber die anderen umgehen kann, nachweislich und hocheffektiv abwehren.

Bei Endgeräten, die nicht durch eine solche vorgeschaltete Sandbox geschützt sind (z. B., Roaming am Flughafen oder im Hotel) müssen Sie eine Endpoint-Security-Lösung mit Verhaltenserkennung implementieren.

Cryptominer-Programme können über den Browser operieren oder durch einen dateilosen Angriff  übertragen werden. Daher können sie von veralteten Lösungen, die kostenlos mit dem Computer geliefert werden, nicht aufgespürt werden.

Verhaltensbasierte Cybersicherheitslösungen wie Capture Client ATP dagegen sind in der Lage Cryptomining-Malware zu erkennen und die Schürfaktivität zu stoppen. Anschließend kann die Malware umgehend unter Quarantäne gestellt und gelöscht oder – falls Systemdateien beim Angriff beschädigt wurden – das System auf den letzten bekannten unbeschädigten Zustand vor der Ausführung der Malware zurückgesetzt werden.

So lassen sich die neuesten Malware-Typen – egal welchem Trend oder welcher Intention sie folgen – durch eine Kombination aus Perimeterschutz und Verhaltensanalyse unschädlich machen.

This post is also available in: English Alemão Allemand Alemán Italienisch