Im Verborgenen

Malware-Angriff mittels Crypto Mining

Wenn die Leistungsfähigkeit von Endgeräten plötzlich grundlos nachlässt, könnte dies an einem Malware-Angriff mittels Crypto Mining liegen. Denn dabei werden ohne Wissen der Nutzer im Hintergrund virtuelle Währungen geschürft.

Cyberkriminelle bereichern sich oft auf Kosten der Rechenleistung fremder Computer.

Cyberkriminelle bereichern sich oft auf Kosten der Rechenleistung fremder Computer.

In Sicherheitskreisen hat das sogenannte Krypto-Mining oder Krypto-Jacking zuletzt immer wieder für Aufsehen gesorgt. Dahinter verbirgt sich Malware, die im Hintergrund – von den Nutzern meist unbemerkt – Rechenressourcen abgreift. „Bei einem Crypto-Mining-Angriff wird ein Programcode ohne Genehmigung direkt auf einem System installiert oder über eine infizierte Website gestartet“, skizziert Candid Wüest, Principal Threat Researcher bei Symantec, die Vorgehensweise der Angreifer. Das Ziel ist das versteckte Schürfen von Kryptowährungen wie Bitcoin, Ethereum oder Monero auf fremden Computern. Laut Wüest geht es den Cyberkriminellen vor allem darum, selbst virtuelle Währungen zu schürfen und dabei eine möglichst hohe Rechenleistung bei möglichst geringen Kosten zu erhalten.

Grundsätzlich kann jeder Rechner und jedes IoT-Gerät das Ziel solcher Attacken werden. „Allerdings suchen sich die Angreifer vorzugsweise einfache Wege, um viele Rechner für ihr unerlaubtes Schürfen zu nutzen. Ein paar Zeilen Code, eingeschleust auf einer ungeschützten Webseite, reichen aus, um den Rechner jedes Besuchers für verstecktes Crypto Mining zu übernehmen“, berichtet Wüest. Mit einigen Millionen Vorfällen pro Monat seien solche mit Schürfskripten verseuchten Webseiten derzeit das größte Problem. Hierbei gehe es den Cyberkriminellen gar nicht darum, gezielt Personen anzugreifen, sondern mit möglichst wenig Aufwand einen hohen Return on Invest zu erringen. Diese Vorgehensweise bringt Rolf Haas, Enterprise Technology Specialist bei McAfee, wie folgt auf den Punkt: „Cyberkriminelle bereichern sich somit auf Kosten der Rechenleistung fremder Computer.“

Doch wie läuft eine Attacke mittels Crypto-Mining-Malware im Detail eigentlich ab? Meist erfolgt die Infizierung von Netzwerken, Rechnern oder mobilen Endgeräten unter dem Radar der Verantwortlichen. „Oft werden Nutzer mittels teilweise täuschend echt gefälschter Mails oder infizierter Webseiten auf den Download der Malware gebracht“, berichtet Georgeta Toth, Regional Director bei dem Security-Spezialisten Proofpoint. Dazu sollen sie auf präparierte Links klicken. In der Regel nutzen Kriminelle dafür dieselben Mechanismen, die beispielsweise beim Phishing verwendet werden. Doch auch Schwachstellen im Betriebssystem können als Einfallstor für diese Art von Schad-Software dienen.

Und die Gefahren lauern selbst in App Stores. „Eine Reihe der angebotenen Apps sind mit Crypto-Mining-Codes versehen, die die Geräte dann im Hintergrund schürfen lassen – der User wundert sich dann, warum sein Akku sich deutlich schneller als zuvor leert“, ergänzt Candid Wüest.

Stromklau im großen Stil


Die Folgen solcher Mining-Angriffe können laut Jochen Koehler, Regional Director bei dem Sicherheitsanbieter Bromium, etwa mit einer deutlichen Verlangsamung von Geräten, eingeschränkter Funktionalität, der Überhitzung von Akkus oder einem vollständigen Lahmlegen von Rechnern einhergehen.

Nicht selten ist der Schaden für die Betroffenen groß. „Zwar erfolgt der Ressourcendiebstahl zunächst völlig unbemerkt, die negativen Auswirkungen hingegen sind für die Anwender langfristig spürbar. So bleiben die Geschädigten auf jeden Fall auf den – teilweise sehr hohen – Stromkosten sitzen“, betont Jochen Koehler. Dies bestätigt Candid Wüest, der davon ausgeht, dass die Stromrechnungen bei großen Unternehmen um einige Tausend Euro pro Monat ansteigen können. Überdies laufen Firmen Gefahr, dass Münzschürfer ihre Netzwerke stilllegen oder durch eine hohe Auslastung ihrer Cloud-Ressourcen deutliche Zusatzkosten verursachen.

Nicht zuletzt verweist Rolf Haas auf ein weiteres Problem: Die dauerhafte Belastung durch rechenintensives Krypto-Mining kann den Verschleiß von Hardware-Komponenten beschleunigen und damit durchaus die Lebensdauer der Rechner verkürzen.

Zahlreiche prominente Attacken


Zuletzt häuften sich Attacken mit Crypto-Mining-Malware, wobei einige prominente Vorfälle für Schlagzeilen sorgten. So konnte der IT-Sicherheitsspezialist McAfee allein im 1. Quartal 2018 einen Anstieg der Coin-Miner-Malware-Varianten um über 600 Prozent beobachten, was den Trend hin zur Mining-Malware deutlich unterstreicht. „In China wurden z.B. Android-Smartphones mit einer Malware namens ADB.Miner attackiert, um die Kryptowährung Monero zu schürfen“, berichtet Rolf Haas. Andere Mining-Malware richtet sich gegen spezifische Gruppen, so wurde ein Miner entdeckt, der sich einem russischen Forum als vermeintliche Videospielmodifikation präsentierte. Auch gelang es den Kriminellen durch Ausnutzung einer Schwachstelle, Oracle-Weblogic-Server in ein Botnetz zum Abbau der Monero-Kryptowährung umzufunktionieren. Daneben gab es einige größere Webseiten von Medienunternehmen, die unwissentlich Crypto-Mining-Skripte an ihre zahlreichen Besucher verteilten.

Am profitabelsten waren bis jetzt jedoch Crypto-Mining-Botnetze, wie Wanna Mine, die über Spam-E-Mails verteilt wurden und sich dann selbstständig im Unternehmen verbreiten, glaubt Wüest. Solche Botnetze mit einigen Tausend infizierten Computern erzielten demnach bereits über 100.000 US-Dollar Gewinn für die Cyber­kriminellen.

Auf die Malware Smominru verweist Georgeta Toth. Dahinter steckt ein Miner für die Kryptowährung Monero, der Anfang dieses Jahres zugeschlagen hat. „Er nutzte den Eternal-Blue-Exploit und pflanzte sich – untypisch für Krypto-Miner – durch die Windows-Management-Infrastruktur fort.“ Ein weiteres Negativbeispiel ist Adylkuzz, der in seiner Verbreitung gar die Ransomware Wanna Cry hinter sich ließ, ergänzt Toth.

Einem jüngsten Vorfall kamen Experten des Sicherheitsanbieters Eset Mitte September 2018 auf die Spur: Sie entdeckten, dass Drittanbieter-Add-ons der beliebten Mediaplayer-Software Kodi für eine Malware-Kampagne missbraucht wurden. Ein kürzlich wegen Urheberrechtsverletzungen abgeschaltetes Repository (XvMBC) hat – wahrscheinlich unwissentlich – seit Dezember 2017 Kryptomining-Schad-Software verbreitet, heißt es in einer Pressemeldung. Vor diesem Hintergrund sollten sowohl Windows- als auch Linux-Nutzer dringend ihre Systeme scannen.

Was schützt vor Crypto Mining?


Ob dieser zahlreichen Vorfälle sollten sich die Sicherheitsverantwortlichen aktiv gegen Crypto Mining zur Wehr setzen. Will man die eigene Organisation vor der Malware schützen, sollte man laut Georgeta Toth zunächst die dafür notwendigen technischen Vorkehrungen treffen. Da die meisten Bedrohungen klassisch von E-Mails ausgehen, gilt es primär, diese Angriffslücke zu schließen. „Zusätzlich sollten die Mitarbeiter ausreichend für die Gefahr durch Krypto-Mining sensibilisiert werden, denn der Mensch selbst bleibt der größte Angriffsvektor“, ergänzt Toth abschließend.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2018. Bestellen Sie ein kostenfreies Probe-Abo.

In diesem Zusammenhang rät Candid Wüest, stets die neuesten Patches und Updates zu installieren. Denn damit werde gewährleistet, dass Cyberkriminelle nicht über Lücken ins System gelangen. „Das Blockieren von Skripten, die über Websites ausgeliefert werden, ist eine weitere Möglichkeit. Dies gilt vor allem bei Javascript-Angriffen, die im Browser stattfinden“, so Wüest weiter. Desweiteren lassen sich Anti-Cryptomining-Tools installieren, die ganz gezielt Crypto-Mining-Attacken identifizieren und unterbinden, wobei moderne Endpunkt-Sicherheitslösungen einen solchen Schutz bereits integriert haben.


Wie funktioniert Crypto-Mining-Malware?

Crypto Mining betrifft das „Schürfen“ von Kryptowährungen wie Bitcoin oder Ethereum, das dadurch vonstattengeht, dass ein Computer bestimmte leistungsintensive Rechenoperationen durchführt. Dies bedeutet, dass Kryptowährungen durch den Einsatz von Rechenleistung generiert werden. Crypto-Mining-Malware führt diesen Vorgang nun heimlich auf einem infizierten Rechner durch und sendet die dadurch erschlichene Kryptowährung an den Urheber des Angriffs zurück. Cyberkriminelle bereichern sich somit auf Kosten der Rechenleistung fremder Computer.

Quelle: Rolf Haas, McAfee


Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok