Autor: Guy Grieve – Channel SE Manager UK&I bei LogPoint
Kryptowährungen wie Bitcoin sind seit ihrer Entstehung ein Grund zur Sorge. Fans der Technologie sagen, das ist die Zukunft des Geldes in Bezug auf die Privatsphäre und die Überprüfbarkeit von komplexen Transaktionen, aber es hat immer eine große Debatte darüber gegeben, dass der wahre „Wert“ der Kryptowährung in der Anwendung und Verwendung der Währung liegt, wie zum Beispiel bei der Steuerflucht und beim Kauf von illegalen Gegenständen und Dienstleistungen.
Regierungen, verschiedene Finanzinstitute und Strafverfolgungsbehörden haben begonnen, gegen diese Bedenken vorzugehen, indem sie versuchen, den Markt zu regulieren. Die Kryptowährungen bleiben allerdings eine attraktive Einkommensform auch für bösartige Aktivitäten wie Malware-Infektionen.
Weil Kryptowährungen wertvoll, digital und anonym sind und sich über Grenzen hinweg einsetzen lassen – jeder kann jederzeit und überall Kryptowährungen an andere senden – sind sie zu einem unwiderstehlichen Ziel für Cyberkriminelle geworden. Es ist kein Zufall, dass ihre zunehmende Popularität zu einem parallelen Anstieg von Malware-Infektionen geführt hat, die Laptops und Server in Zombies verwandeln und unauffällig einen entfernten und fremdkontrollierten Bitcoin-Miningbetrieb abgeben.
Mining oder Cryptojacking findet statt, wenn jemand anderes Ihren Computer benutzt, um eine Kryptowährung wie Bitcoin oder Ethereum „herzustellen“. Anstatt Sie selbst zu begünstigen, gehen alle abgebauten (gesammelten) Münzen auf das Konto des Angreifers (oder seines Kunden). Durch das Cryptojacking Ihrer Maschine stiehlt und nutzt der Cryptojacker Ihre Ressourcen in Form von Rechenleistung und Strom und wandelt sie für sich selbst in Kapital um.
Diese Rechenressourcen umfassen die Übernahme Ihrer Grafikprozessoreinheit (GPU) und der Zentraleinheit (CPU). Mining ist eine außerordentlich energie- und ressourcenintensive Aufgabe, die diese Prozessoren überlastet und große Mengen an Energie benötigt, um die komplexen Berechnungen durchzuführen, die notwendig sind, um eine virtuelle Münze zu erzeugen. Wenn Sie Ihre Maschinen ohne die richtige Kühlung und Vorkehrungen auf dieses Niveau bringen, können Sie leicht Ihre Freude daran verlieren oder einen Produktivitätsverlust in Ihrer Arbeitsumgebung erleben, weil die Hardware aufgrund von Problemen durch Überhitzung ausfällt.
Das ist es, was ein Team von russischen Wissenschaftlern motiviert hat, den Supercomputer in einer Kernforschungsanlage zu nutzen, um einen nicht genehmigten Bitcoin-Miner zu betreiben. Es ist auch das, was Cryptojacking motiviert. Durch die Schaffung eines verteilten Computernetzwerks, das aus Hunderten oder Tausenden von Zombie- oder kompromittierten Computern besteht, umgehen sie die Vorabkosten eines einzelnen, teuren Hochleistungscomputers und geben dann die laufenden Kosten für die Stromversorgung weiter.
Diese Kosten werden weitergegeben.
Die Regierungen Großbritanniens und Australiens erlitten kürzlich Webseitenausfälle dank einer Cryptojacking-Malware, die Tausende von Regierungsrechnern infizierte. Die Quelle der Infektion war ein kompromittiertes Browser-Plugin eines Drittanbieters. Tausende von Websites innerhalb und außerhalb Australiens, darunter der britische National Health Service und der britische Datenschutzbeauftragte, waren betroffen.
In der Regel sind Windows-Maschinen das Ziel von Cryptojacking-Malware, aber auch andere Geräte und Betriebssysteme können in Bitcoin-Mining-Bots umgewandelt werden:
- Mac OS und iOS-Gerät, einschließlich iPhones
- Spielkonsolen
- Geräte zum Environment Monitoring, eingesetzt in Rechenzentren
- IoT-Geräte innerhalb einer Smart Home-Instanz
- Wi-Fi-Router
- Android-gesteuerte Smart TVs und mobile Geräte
Ein kompromittiertes Gerät wird oft durch die Malware gezwungen, mit dem Maximum dessen zu arbeiten, was seine Komponenten verarbeiten können. Das Mining kann andere Prozesse verlangsamen, Grafikarten und Prozessoren überlasten oder sogar das komplette Gerät blockieren. Da die Verbindung zwischen dem infizierten Host und dem Befehls- und Kontrollserver für die Crypto-Mining-Software ungesichert ist, kann der Computer auch für Infektionen durch andere Arten von Malware anfällig sein.
Während ein Endbenutzer oder Netzwerkadministrator feststellen kann, dass eine Maschine langsamer als normal läuft oder dass die CPU-Auslastung im Netzwerk hoch ist, kann es schwierig sein, die Ursache des Problems zu bestimmen. Die Tatsache, dass ein befallenes Gerät langsam läuft, macht es auch schwieriger es zu untersuchen. Die von der Malware initiierten Mining-Prozesse können sich außerdem als normale Systemaufgaben tarnen.
Um Cryptojacking zu stoppen, korrelieren Sie Netzwerkanomalien.
Leider gibt es keinen universellen Schutz gegen Cryptojacking. Wie bei jeder Malware gibt es mehrere Angriffsvektoren, und sie von angeschlossenen Rechnern fernzuhalten, ist Teil des langfristigen Kampfes gegen Malware.
Sicherheitsteams sollten natürlich Standardtechniken befolgen, um mögliche Schäden und Folgen zu verringern – Aktualisieren von Antiviren- und Firewall-Einstellungen, sicherstellen, dass alle Geräte mit den neuesten Patches aktualisiert werden, Ändern oder Verstärken von Standard-Anmeldeinformationen, Whitelisting von Anwendungen und so weiter.
Aber die größte Herausforderung, um Cryptojacking zu stoppen, ist die Erkennung. Die proaktive Überwachung des Netzwerkverkehrs und des Maschinenstatus kann helfen, die Anzeichen einer Infektion zu erkennen – Spitzen in der CPU-Auslastung, übermäßiger Speicherverbrauch, Netzwerküberlastung oder unerklärliche Verlangsamung der Server. Wenn man diese Anzeichen jedoch isoliert betrachtet, reichen die Warnzeichen möglicherweise nicht aus, um Alarm zu schlagen.
Der Schlüssel dazu ist, über Überwachungssysteme für das Netzwerk zu verfügen, die in der Lage sind, die Anomalien miteinander zu korrelieren. Nur dann kann ein Systemadministrator oder das SOC-Team die Verhaltensmuster identifizieren, die auf Bitcoin oder ein anderes Kryptowährungs-Mining hinweisen. Sie können dann entscheiden, wie sie die Malware am besten stoppen, den Schaden abfangen und die Höhe der durch die Infektion verursachten Energierechnung begrenzen können.
Die Sicherung von E-Mail-Gateways, die Entwicklung von Gegenmaßnahmen gegen Web-Injektionen, die Implementierung von Best Practices für mobile Geräte sowie BYOD (Bring your own device) und die Förderung einer sicherheitsbewussten Unternehmenskultur können Teil eines umfassenden Schutzes gegen Cryptojacking und andere Angriffe sein.
In jedem Fall wird jedoch die Sicherheit von Geräten mit Internetanschluss gegen Crypto-Miner noch für einige Zeit ein Top-Thema auf der Cybersicherheitsagenda sein.
Für weitere Informationen kontaktieren Sie uns über [email protected]