Kryptojacking vorbeugen

Cyberkriminelle in Goldgräberstimmung

In den vergangenen Monaten zeichnet sich ein neuer Trend in der Cyberkriminalität ab: Angreifer versuchen, mit ihren Attacken nicht länger über Ransomware Geld von Firmen zu erpressen. Stattdessen lassen sie die Rechner ihrer Opfer per „Kryptojacking“ für sie Geld verdienen.

Cyberkriminelle in Goldgräberstimmung

Beim sogenannten „Kryptojacking“ lassen die Angreifer die Rechner ihrer Opfer für sie Geld verdienen.

Bei dieser Form der Internetkriminalität nutzen Angreifer die Leistung fremder Firmenrechner, um neue Einheiten von Kryptowährungen wie Monero oder Bitcoin zu schürfen. Produktivitätsausfälle, hohe Betriebskosten bis hin zu Defekten an der IT-Infrastruktur – Schäden, die durch Kryptojacking entstehen, sind erheblich und treffen Unternehmen an einer empfindlichen Stelle.

Angesichts der immer noch soliden Kurse von Kryptowährungen lohnt sich das Schürfen. Doch Kryptomining bedarf enormer Rechenleistung. An dieser Stelle setzen Cyberkriminelle an. Sie schleusen Schadsoftware in ein Firmennetzwerk ein, kombinieren die CPU-Leistung ihrer Opfer und schürfen im industriellen Maßstab. Die Vorgehensweisen ähnelt dem Betrieb von Botnetzen, bei denen hunderttausende Rechner ohne Wissen der Eigentümer automatisiert miteinander kommunizieren. Die Zahl der Fälle, bei denen Malware heimlich Rechner für das Mining von Kryptowährung anzapfen, ist in den vergangenen Monaten massiv angewachsen. Zu diesem Schluss kommt eine Analyse des Sicherheitsunternehmens McAfee: Demnach konnten im ersten Quartal 2018 mehr als 2,9 Millionen Hinweise auf illegales Kryptomining identifiziert werden, im Vergleich zu 400.000 Fällen im letzten Quartal 2017.

Darum boomt Kryptojacking

Angesichts dieser Entwicklung reicht Kryptojacking den Erpressungsversuchen per Ransomware schon bald das Wasser. Dass die Methode gerade zu einer der Lieblingswaffen Cyberkrimineller wird, hat verschiedene Gründe: Es funktioniert einfach, wird von Unternehmen selten als direkte Bedrohung wahrgenommen und verspricht gute Umsätze. US-Sicherheitsexperten schätzen, dass die jährliche Ausbeute über das von Kryptojacking-Malware eingesetzte Script „Coinhive“ zwischen 3,7 und fünf Millionen US-Dollar liegt. Mit der vereinten Kraft vieler tausend Rechner schürfen Angreifer ausgesprochen effektiv. Speziell für diese Aufgabe schaffen sie Kryptomining-Botnetze. Eines dieser Netze, „Smominru“ genannt, kontrollierte Anfang des Jahres mehr als 520.000 windows-basierte Server.

Dies ist ein Artikel aus unserer Print-Ausgabe 11/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Im Februar 2018 attackierte Kryptojacking-Malware 5.000 Websites, darunter ironischerweise die des britischen Datenschutzkommissars, des National Health Service (NHS) sowie Seiten öffentlicher Einrichtungen. Die Malware fügte das Coinhive-Skript in Websites ein, sodass Besucher der betroffenen Seiten unwissentlich Mining-Operationen durchführten. Die Dunkelziffer solcher Angriffe ist hoch. Dementsprechend vage gestalten sich Zahlen zum Umfang aktueller Kryptojacking-Aktivitäten. Die Analysen des Ad-Blocker Spezialisten Adguard sprechen jedoch von ungefähr 500 Millionen Rechnern, die bereits im Jahr 2017 weltweit unbemerkt missbraucht wurden.

Langfristige IT-Schäden

Krypto-Attacken schwächen den IT-Betrieb substantiell. Schlimmer noch: Werden Unternehmen Opfer von solchen Angriffen, müssen sie noch weit in der Zukunft mit den Auswirkungen des Angriffs kämpfen: So arbeiten Server und angeschlossene PCs unter höherer Last langsamer als zuvor. In der Folge sinkt die Produktivität und die Betriebskosten steigen. Hierzu zählt beispielsweise der wachsende Energieverbrauch. Aktuell beziffert die internationale Energiebehörde IEA den weltweiten Strombedarf aller Mining-Aktivitäten alleine für Bitcoins auf 73 Terrawattstunden pro Jahr. Das entspricht dem jährlichen Stromverbrauch Österreichs. Für jede einzelne Bitcoin-Transaktion könnten 30 Einfamilienhäuser einen Tag lang mit Energie versorgt werden. Ein wachsender Anteil der dabei entstehenden Energiekosten geht auf das Konto illegaler Aktivitäten – und fließen letztlich in die Betriebskostenrechnung unwissender Unternehmen ein.

Versteckte Kosten, wie eine kürzere Lebensspanne der IT-Infrastruktur, müssen ebenfalls eingerechnet werden, betont der Software-Anbieter Ivanti. Hinzu kommen Effekte wie Imageschäden betroffener Firmen oder Compliance-Fragen rund um Meldepflichten im Fall, dass ein Angriff entdeckt wird. Interessanterweise sind viele IT-Abteilungen bereits alarmiert: Laut einer aktuellen Studie von Citrix waren 59 Prozent der Befragten (750 IT-Führungskräfte aus Großbritannien) bereits von Kryptojacking betroffen. Und 80 Prozent der Angriffe fanden im letzten halben Jahr statt. Drei Viertel aller Unternehmen haben bereits Richtlinien gegen Kryptojacking implementiert, eine überraschend hohe Zahl für eine so junge Bedrohungsform.

Strategien gegen illegale Schürfer

Am Anfang jeder Abwehrstrategie steht das Wissen um den aktuellen Zustand der Infrastruktur. Organisationen müssen ihre gesamte IT-Architektur regelmäßig überwachen und prüfen, angefangen von der Website bis hin zu jedem Server und Client. Dabei spielen Frühindikatoren eine Rolle – beispielsweise die Meldung eines Nutzers, der über hohe Lüftergeräusche seines Rechners klagt. Unbekannte Tasks, die auf diesem Gerät eine hohe CPU-Last erzeugen, sind verdächtig und sollten kritisch überprüft werden. Ebenso lohnt ein Blick auf Fremdsoftware, die auf anderen als den eigenen Quellcode verlinkt.

Im zweiten Schritt gilt es dann, die Angriffsfläche über passende Technologien und geprüfte Prozesse zu verkleinern. Diese sollten die drei Phasen der Cyberabwehr abdecken: Angriffsversuche erkennen, rechtzeitig Maßnahmen ergreifen und Schwachstellen schließen. Damit wird allerdings auch klar, dass ein Schutz gegen Kryptojacking nicht auf singulären Maßnahmen fußen kann. Erst ein verzahnter Ansatz auf Basis eines Schichtenmodells kann wirksam sein.

Wer sich vor Kryptojacking schützen will, für den ist leider jeder Tag ein „Patch Tuesday“. Schließlich sind es vor allem veraltete Anwendungen und Betriebssysteme, über die sich Hacker Zugang verschaffen. Das oben erwähnte Kryptomining-Botnet nutzt bekannte Schwachstellen wie den Eternal-Blue-Exploit und das Esteem Audit aus, um Windows-Maschinen zu übernehmen. Diese hätten schon vor langer Zeit gepatcht werden müssen. Patchen Unternehmen ihre Rechner richtig sowie regelmäßig und entfernen Angriffsvektoren, dann errichten sie einen guten Schutz ihrer Ressourcen – und halten Kryptohacker von ihrer Goldmine fern.

Mit folgenden sieben Maßnahmen lassen sich etwa 95 Prozent aller IT-Risiken am Endgerät eindämmen. Eine hundertprozentige Sicherheit kann es nie geben – Angriffe lassen sich aber erschweren:

  • System Patching: Werden Updates für alle Windows-Versionen in allen Zweigen im Unternehmen regelmäßig aufgespielt?
  • 3rd Party Patches: Werden nur aktuelle Software-Versionen von Drittherstellern eingesetzt?
  • Applikationskontrolle: Welche Anwendungen dürfen Mitarbeiter verwenden? Rechteverwaltung: Gilt im Unternehmen das Prinzip der geringsten Zugriffsrechte?
  • Device Control: Auf welche Anwendungen und Systeme dürfen Geräte zugreifen?
  • Antivirus: Sind die neuesten Signaturen auf allen Geräten aufgespielt – insbesondere auf mobilen Systemen?
  • Discovery: Hat die IT-Organisation einen umfassenden Überblick über alle Systeme im Netzwerk – inklusive privater Geräte von Mitarbeitern?
    (Quelle: Ivanti)

Bild: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok