Seit etwa einem Jahr verbreiten Cyber-Kriminelle verstärkt eine besondere Form der Malware, um fremde Rechner für Crypto Mining zu missbrauchen. Sie generieren also Währungen wie Bitcoin, Ethereum oder Monero, ohne dass betroffene Nutzer dies mitbekommen. Alarmzeichen sind eine hohe Auslastung von PCs oder heiße Smartphone-Akkus mit hohem Stromverbrauch. Was im Detail hinter Cryptojacking steckt und wie Sie Ihr Unternehmen vor der neuen Bedrohung schützen, lesen Sie in diesem Artikel.

 

Was ist Cryptojacking und warum liegt es im Trend?

Der Begriff „Cryptojacking“ setzt sich aus den Wörtern „Cryptocurrency“ und „Hijacking“ zusammen. Aus technischer Sicht werden Browser von Endanwendern gekapert, um deren Rechner für das Schürfen von digitalen Währungen (Crypto Mining) zu nutzen. Doch warum sind Angriffe dieser Art bei Cyber-Kriminellen derzeit so beliebt?

Zum einen war insbesondere um die Jahreswende 2017/2018 ein regelrechter digitaler Goldrausch im Gange. Immer mehr Menschen investierten in Kryptowährungen und die Kurse schossen in astronomische Höhen. Zudem muss berücksichtigt werden, dass Crypto Mining äußerst rechenintensiv ist. Das „Schürfen“ erfordert mathematische Berechnungen, die den Prozessor von Endgeräten vollständig auslasten. Mit der steigenden Nachfrage nach Bitcoin & Co. stieg der Bedarf an Spezialhardware und professionellen Infrastrukturen nochmals deutlich an.

Anstatt eigene, kostenintensive Rechenzentren zu betreiben, gehen Cryptojacker einen anderen Weg. Sie bauen Botnets auf, die aus kompromittierter Maschinen bestehen und unbemerkt deren Rechenleistung nutzen. Betroffene Endanwender kämpfen mit schlechter Performance und hohen Energiekosten. Teils werden durch Cryptojacking sogar Cloud-Umgebungen unbeabsichtigt „skaliert“, was sich in höheren Nutzungsgebühren widerspiegelt.

Cryptominer lauern auf Webseiten und in Apps

Die Schadsoftware, sogenannte Cryptominer, gelangt im Wesentlichen über zwei Wege auf die Rechner ihrer Opfer. Eine Möglichkeit sind Phishing-Methoden – etwa E-Mails mit integriertem Link. Das Anklicken des Links bewirkt den Download eines Crypto Mining-Skripts, das im Hintergrund aktiv wird. Die zweite Variante sind Werbeanzeigen, die den Schadcode enthalten und von Webseiten automatisch ausgeliefert werden. Der Besuch entsprechender Webseiten führt also zum automatischen Ausführen des Skripts, wobei kein Code auf dem Rechner des Endnutzers gespeichert wird. Mobile Endgeräte sind ebenfalls betroffen. Hier kommt die Malware in der Regel über Apps auf die Devices.

So verhindern Sie Cryptojacking

Zwar richten Cryptojacking-Scripts keinen unmittelbaren Schaden auf befallenen Geräten an, sie stehlen jedoch Ressourcen. Unternehmen, die in großem Umfang von dieser Problematik betroffen sind, begegnen den Performance-Einbrüchen oftmals mit einer intensiven Fehlersuche und dem Austausch von Hardware-Komponenten. Hierbei können enorme Investitionen auflaufen. Um dies zu verhindern, sind mehrere Maßnahmen erforderlich:

  • Sensibilisierung der Mitarbeiter
  • Webbrowser schützen
  • Mobile Device Management einsetzen
  • Monitoring-Lösung implementieren

Sensibilisierung der Mitarbeiter

Klären Sie Ihre Mitarbeiter grundsätzlich über Cryptojacking auf. Legen Sie den Fokus hierbei auf Phishing-Methoden. Zu bedenken ist allerdings, dass dies allenfalls einen zusätzlichen Schutz bietet, falls technische Maßnahmen nicht greifen.

Webbrowser schützen

Webbrowser sind das wichtigste Einfallstor für Cryptojacking. Besondere Bedeutung hat daher die Installation eines Adblockers, der entsprechende Skripte aufspüren kann. Allgemein sollte der Browser so konfiguriert sein, dass er gefährliche Websites via Blacklisting blockiert. Aktive Inhalte und Scripting werden im Optimalfall komplett deaktiviert. Ferner sollten Browser-Erweiterungen stets auf dem aktuellen Stand sein. Auch die Installation von speziellen Anti-Mining-Add-ons kann unterstützend erfolgen. Weiterhin sind URL-Filter auf zentralen Web-Proxy-Systemen hilfreich.

Mobile Device Management einsetzen

Zwar sind mobile Endgeräte für Hacker aufgrund der geringen Rechenleistung derzeit noch weniger interessant, insbesondere größere Unternehmen sollten mit ihren Schutzmaßnahmen jedoch auch hier ansetzen. An dieser Stelle kommen Lösungen für das Mobile Device Management (auch Enterprise Mobility Management genannt) ins Spiel. Es handelt sich um Werkzeuge, mit denen IT-Abteilungen die Apps, Erweiterungen und Daten auf den mobilen Endgeräten ihrer Nutzer zentral verwalten können.

Monitoring-Lösung implementieren

Die Unternehmens-IT sollte einige Warnzeichen kennen und berücksichtigen. Oftmals ist eine steigende Zahl von Tickets zu Performance-Problemen ein erster Hinweis. Auch das Überschreiten von CPU-Schwellenwerten, überhitzte Hardware oder Fehler im Kühlsystem sollten zu Untersuchungen in Richtung Cryptojacking führen. Mit einer Network-Monitoring-Lösung lassen sich „Schürfer“ ebenfalls identifizieren. Allerdings ist Know-how erforderlich, um die richtigen Schlüsse aus vorliegenden Analysen zu ziehen. Alternativ lässt sich entsprechender Traffic außerdem mit Network-Intrusion-Detection-Systemen (IDS) erkennen. Anbieter wie Vectra und Darktrace nutzen hierbei Machine-Learning-Funktionen, um Anomalien zu erkennen.

Fazit: Wachsamkeit gefragt

Fassen wir zusammen, so ist Cryptojacking-Schutz im Kern mit der Abwehr von Malware vergleichbar. Lediglich die Symptome unterscheiden sich. Selbst wenn keine Anzeichen einer Kompromittierung und keine Geldforderungen von Kriminellen vorliegen, sollte Wachsamkeit das Gebot der Stunde sein. Fakt ist außerdem: Tritt ein Befall mit Cryptominern ein, so ist dies stets ein Zeichen für eine vorhandene Schutzlücke. Diese sollte unverzüglich geschlossen werden, um Malware mit weitreichenderen Auswirkungen (z. B. Cryptolocker) keine Chance zu geben.