Illegales Schürfen von Kryptowährungen

Crypto Mining bleibt oft unentdeckt

Wie die Infizierung von Netzwerken oder Rechnern mit Crypto-Mining-Malware abläuft, erläutert Candid Wüest von Symantec.

Candid Wüest, Symantec

Candid Wüest, Principal Threat Researcher von Symantec

IT-DIRECTOR: Herr Wüest, wie funktioniert Krypto-Mining-Malware? Was wollen Cyberkriminelle damit erreichen?
C. Wüest:
Bei einem Crypto-Mining-Angriff wird ein Programcode ohne Genehmigung auf einem System direkt installiert oder über eine infizierte Website gestartet. Ziel ist das versteckte Schürfen von Kryptowährungen, zum Beispiel Monero, auf fremden Computern. Dabei geht es den Cyberkriminellen darum von den Kryptowährungen zu profitieren, indem sie selber schürfen und eine möglichst hohe Rechenleistung bei möglichst geringen Kosten für sich selbst erhalten.

IT-DIRECTOR: Welche sind derzeit die beliebtesten Ziele für Mining-Malware-Attacken?
C. Wüest:
Jeder Rechner und jedes Internet-of-Things-Gerät kann Ziel von Mining-Attacken werden. Allerdings suchen sich Cyberkriminelle vorzugsweise einen möglichst einfachen Weg, um viele Rechner für ihr unerlaubtes Schürfen zu nutzen. Ein paar Zeilen Code, eingeschleust auf einer ungeschützten Webseite, reichen aus, um den Rechner jedes Besuchers für verstecktes Crypto Mining zu übernehmen. Mit einigen Millionen Vorfällen pro Monat sind solche mit Schürfskripten verseuchte Webseiten derzeit das größte Problem. Hierbei geht es den Cyberkriminellen nicht darum, Personen gezielt anzugreifen, sondern es geht ihnen primär darum, mit möglichst wenig Aufwand einen hohen Return on Invest zu erhalten.

IT-DIRECTOR: Wie erfolgreich waren die Attacken mit Mining-Malware zuletzt? Was waren die „prominentesten“ Vorfälle?
C. Wüest:
Es gab einige größere Webseiten von Medienunternehmen welche unwissentlich Crypto-Mining-Skripte an ihre zahlreichen Besucher verteilten. Am profitabelsten waren bis jetzt aber Crypto-Mining-Botnetze, wie Wanna Mine, welche über Spam-E-Mails verteilt wurden und sich dann selbständig im Unternehmen verbreiten. Solche Botnetze mit einigen zig-tausende infizierten Computern, erzielten bereits über 100.000 US Dollar an Gewinn für die Cyberkriminellen.

IT-DIRECTOR: Wie läuft die Infizierung der Netzwerke oder Rechner im Detail ab?
C. Wüest:
Meist schleusen die Cyberkriminellen einige Zeilen Schadcode in einen ungeschützten Webserver ein. Sobald User die entsprechende Website aufrufen, wird das Skript ausgeführt und angefangen Kryptowährungen zu schürfen. Der Rechner wird hierbei jedoch nicht in dem Sinne infiziert, in dem wir es von Viren kennen. Sobald der Browser geschlossen wird, stoppt auch das browserbasierte Münzschürfen. Aber auch über infizierte E-Mails lassen sich Schadcodes auf Endgeräten einbringen. Sobald der bösartige Anhang geöffnet wird, nistet sich die Crypto-Mining-Malware auf dem System ein und schürft solange der Computer läuft. Solche file-basierten Miner bleiben auf dem System aktiv bis sie von einer Sicherheits-Software entfernt werden.

Crypto-Mining-Gefahren lauern selbst in App Stores: Eine Reihe der angebotenen Apps sind mit Crypto-Mining-Codes versehen, die die Geräte dann im Hintergrund schürfen lassen – der User wundert sich dann, warum sein Akku sich deutlich schneller als zuvor leert.

IT-DIRECTOR: Wie bemerken Unternehmen, dass sie Opfer von Crypto-Mining-Malware geworden sind?
C. Wüest:
Es gibt eine Reihe von Anzeichen, um zu erkennen, dass ein Unternehmen Opfer geworden ist. Ein deutliches Zeichen: Der Computer ist deutlich langsamer als dies normalerweise der Fall ist. Crypto Mining benötigt eine hohe Rechenleistung, um Kryptowährungen zu schürfen. Dies geht bis zur Überhitzung von Servern und Rechnern, was Abstürze nach sich zieht. Andere ungewöhnliche Netzwerkaktivitäten wie Verbindungen zu Websites bzw. IP-Adressen, die mit Mining in Verbindung gebracht werden, sind weitere Indikatoren. Dazu gehören beispielsweise unerwartete Powershell-Prozesse, die eine Verbindung zu IP-Adressen herstellen, die mit „xmrpool[.]net“, „coinhive[.]com“, „moneropool[.]com“ und ähnlichen Adressen verknüpft sind.

IT-DIRECTOR: Welchen Schaden können die Angreifer mittels dieser Malware anrichten?
C. Wüest:
Die Aktivitäten der Münzschürfer können Geräte merklich verlangsamen, Batterien überhitzen und Geräte in Einzelfällen sogar ganz unbrauchbar machen. Unternehmen laufen Gefahr, dass Münzschürfer ihre Firmennetzwerke stilllegen und durch eine hohe Auslastung ihrer Cloud-Ressourcen Zusatzkosten verursachen. Zusätzlich kann die Stromrechnung bei großen Unternehmen um einige Tausend Euro pro Monat ansteigen.

IT-DIRECTOR: Mit welchen Sicherheitsmaßnahmen lässt sich unautorisiertes Krypto-Mining verhindern?
C. Wüest:
Zunächst sollte das Bewusstsein für unterschiedliche Phishing-Taktiken geschaffen werden, da diese genutzt werden können, um Crypto-Mining-Skripts auf den Rechnern zu platzieren. Darüber hinaus sollten Unternehmen wie Privatpersonen immer die neuesten Patches und Updates installieren. Damit wird gewährleistet, dass Cyberkriminelle nicht über Lücken ins System gelangen. Das Blockieren von Skripten, die über Websites ausgeliefert werden, ist eine weitere Möglichkeit – dies gilt vor allem bei Javascript-Angriffen, die im Browser stattfinden.

Desweiteren lassen sich Anti-Cryptomining-Tools installieren, die ganz gezielt Crypto-Mining-Attacken identifizieren und unterbinden. Moderne Endpunkt-Sicherheitslösungen haben einen solchen Schutz bereits integriert. Für Unternehmen gilt vor allem: Eine holistische Sicherheitsstrategie und deren Umsetzung, kombiniert mit Trainings für die Mitarbeiter ist der beste Schutz für Cyberangriffe insgesamt.

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok