GlobalSign Blog

20 Feb 2019

Sind Sie ein Opfer von Kryptojacking?

Als Kryptojacking bezeichnet man die böswillige Benutzung eines Computers, um Kryptowährungen zu schürfen. Es stellt ein wachsendes Problem sowohl für einzelne Personen als auch Unternehmen dar. Falls Sie noch nie von Kryptojacking gehört haben liegt es daran, dass es bis vor kurzem eher ein Nischenproblem war. In den letzten Jahren aber hat Kryptojacking zugenommen.

Kryptojacking funktioniert eigentlich ganz einfach, was aber nicht bedeutet, dass es leicht zu entdecken ist oder man sich leicht davor schützen kann. Opfer werden meist dazu verleitet auf einen schädlichen Link in einer E-Mail zu klicken, wodurch Krypto-Mining-Code auf den Computer geladen wird. Oder es wird eine infizierte Online-Anzeige mit JavaScript Code über den Browser ausgeführt.

Egal welche Methode genutzt wurde, läuft der Krypto-Mining-Code dann im Hintergrund auf dem Computer des Opfers und generiert Gewinne für den Angreifer. Meistens ist das einzige Anzeichen dafür, dass der Computer eine etwas langsamere Rechenleistung hat. Genau deswegen sind die Angriffe auch so schwer zu entdecken.

Die steigenden Kosten von Kryptojacking

Es ist sehr schwer festzustellen in welchem Ausmaß Kryptojacking Schaden anrichtet, vor allem, weil viele der Skripte, mit denen die Computer übernommen werden, auf legitimer Krypto-Mining-Software basiert. Es bestehen aber keine Zweifel daran, dass die Praxis weitverbreitet ist. Das rapide Wachstum liegt vor allem an den Methoden mit denen auch weitaus ältere Angriffe schon durchgeführt wurden: Botnets. Auch einige Kryptojacking-Mechanismen nutzen Botnets. Das starke Wachstum von Kryptojacking liegt auch daran, dass es so leicht umzusetzen ist. Es beruft sich auf lang etablierte Angriffsvektoren mit denen bisher Ransomware verteilt wurde oder Botnets gebaut wurden. Wenn ein Gerät erfolgreich infiziert ist, sind Umsatzeinnahmen für den Angreifer schon so gut wie garantiert. Bei Ransomware muss der Benutzer erst noch das Lösegeld zahlen. Kryptojacking-Software dagegen läuft versteckt im Hintergrund und generiert langsam aber sicher Einnahmen.

So funktioniert es

Es gibt im Endeffekt zwei Methoden, um einen Kryptojacking-Angriff durchzuführen. Beide Methoden ähneln anderen Arten von Angriffen.

Bei der ersten wird der Benutzer überlistet sich Krypto-Mining-Software auf seinen Computer zu laden, wie bei dem kürzlichen BadShell-Angriff. Es war eine Malware ohne Datei, die keinen Download benötigt. Die Vorgehensweise ist ähnlich wie bei Phishing-Angriffen. Häufig wird zum Beispiel eine seriös aussehende E-Mail an Benutzer verschickt, in der sie aufgefordert werden einen Link anzuklicken. Falls der Benutzer dies tut, wird ein Krypto-Mining-Skript auf seinen Computer geladen, und läuft dann immer im Hintergrund wenn der Computer angeschaltet ist.

Die zweite häufig gewählte Methode nutzt ein in Websites eingebettetes Skript, um Krypto-Mining-Software im Browser des Opfers laufen zu lassen. Das bekannteste Beispiel davon sind JavaScript-Anzeigen. Es wird schädlicher Code in das JS-Skript hinter der Anzeige eingefügt und der Browser des Benutzers generiert dann ohne sein Wissen Kryptowährung.

Eine Infizierung mag sich zwar harmlos anhören, ist sie aber nicht. Auch wenn Kryptojacking nicht darauf abzielt Informationen zu stehlen oder sonstigen Schaden auf dem Computer des Opfers anzurichten, kann es doch dazu genutzt werden, um schädlichen Code zuzustellen. Auch wenn die einzige Folge der Infizierung eine langsamere Rechnergeschwindigkeit ist, können Unternehmen so erhebliche Umsatzeinbußen erleiden. Um herauszufinden, warum die Rechnerleistung verringert ist oder wenn sogar Komponenten ausgetauscht werden, weil diese von den Anforderungen von Krypto-Mining zerstört wurden, kann dies Kosten verursachen.

So entdecken Sie es

Es kann schwierig sein Kryptojacking zu entdecken, aber hier sind ein paar sichere Anzeichen, dass Ihr Rechner oder die Ihrer Mitarbeiter infiziert sind:

Verlassen Sie sich zuerst einmal nicht auf Standard Anti-Virus-Programme oder Scanning-Software. Kryptojacking ist unter anderem so schwer zu entdecken, weil viele Skripte hinter den Angriffen seriöse Krypto-Mining-Skripte nutzen. Sie werden also von den signaturbasierten Sicherheitstools nicht als Malware erkannt.

Halten Sie stattdessen lieber Ausschau nach Zeichen, dass Ihre Systeme schwerer arbeiten als sie sollten. Das Schürfen von Kryptowährungen nimmt die Zentraleinheit (CPU) des Computers stark in Anspruch. Ein gutes Indiz ist es daher, wenn der Rechner sich überhitzt. In Unternehmen können vermehrte und gleichzeitige Beschwerden von Mitarbeitern über schlechte Leistung oder ein merklicher Anstieg von CPU-Verschleiß durch Überhitzen darauf hinweisen.

Es kann natürlich sein, dass die Computer auf Grund von anderen Angriffen überlastet sind. Jedoch weist ein plötzlicher Leistungseinbruch oft auf eine mögliche Infizierung hin und sollte untersucht werden.

So verhindern Sie es

Kryptojacking-Angriffe nutzen ähnliche Methoden wie die ‚traditionellen‘ Arten von Cyberkriminalität. Daher sind auch die Schutzmaßnahmen wahrscheinlich schon bekannt.

Machen Sie sich hauptsächlich die Gefahren von Phishing-Angriffen bewusst. Ihr Sicherheitstraining sollte ansprechen, wie solche Angriffe aussehen können und vor allem welche Zeichen darauf hinweisen, dass ein Angreifer versuchen könnte schädlichen Code einzuspielen.

Viele Kryptojacking-Angriffe werden über den Webbrowser des Benutzers ausgeführt, weswegen auch hier die Sicherheit verbessert werden sollte. Die Sicherheit Ihres Webbrowsers kann leicht auf verschiedenen Wegen verbessert werden. Nutzen Sie einen Webbrowser, der Sicherheit großschreibt und einen guten Anzeigen-Blocker, der mögliche schädliche Skripte sperrt. Auch eine hochwertige VPN kann die Sicherheit des Webbrowsers verbessern. Einige allgemein erhältliche Add-Ons sind speziell dafür entwickelt worden Krypto-Mining-Skripte zu entdecken und zu blocken.

Des Weiteren kann man sich mit den Vorgehensweisen erfolgreich gegen Kryptojacking schützen, die man auch bei allen anderen Arten von Angriffen nutzen kann. Wenn Ihre Mitarbeiter ihre eigenen Geräte mit in die Arbeit bringen, können diese auf den Netzwerken oder verbundenen internen Systemen Skripte verbreiten. Nutzen Sie daher Software zur Verwaltung von mobilen Geräten, um zu bestimmen, was geladen werden kann. Halten Sie zu guter Letzt Ihre Software auf dem aktuellen Stand, einschließlich Browsererweiterungen und Apps auf mobilen Geräten.

Ein abschließendes Wort

Auch wenn die Auswirkungen von reinen Kryptojacking-Angriffen nur zu verringerter Rechnerleistung führen, sind sie trotzdem nicht harmlos. Wenn Sie Opfer von Kryptojacking geworden sind, verstehen Sie es als Weckruf: wenn ein Angreifer es schafft schädlichen Code auf Ihren Computer (oder den Ihrer Mitarbeiter) zu laden, zeigt dies, dass Ihre Sicherheit nicht so stark ist, wie sie es sein sollte.

Links zu weiteren Ressourcen:

Erfahren Sie mit welchen Lösungen Sie den Angreifern einen Schritt voraus sind:

https://www.globalsign.com/de-de/enterprise/

https://www.globalsign.com/de-de/sichere-email/

https://www.globalsign.com/de-de/managed-pki/

Erfahren Sie noch mehr über die Herausforderungen der Cybersicherheitslandschaft – und wie Sie Ihr Unternehmen sichern können:

https://www.globalsign.com/de-de/blog/warning-advanced-phishing-kits-now-available-on-the-dark-web/

https://www.globalsign.com/de-de/blog/daran-erkennen-sie-eine-phishing-website/

https://www.globalsign.com/de-de/blog/sollten-alle-internen-e-mails-digital-signiert-werden/

Über den Autor

Sam Bocetta ist freiberuflicher Journalist mit Schwerpunkt US Diplomatie und nationale Sicherheit. Besonders interessieren ihn die Technologietrends in Cyber-Kriegsführung, Cyber-Abwehr und Kryptografie.

Artikel teilen