Aufwärtstrend beim Cryptojacking

Noch ist das Thema „Cryptojacking“ eine relativ neue Entwicklung im Bereich der Cyberbedrohungen. Dennoch setzt eine zunehmend große Zahl an Cyberkriminellen auf diese Blockchain-Anwendung um Schäden anzurichten. Alex Hinchliffe, Threat Intelligence Analyst bei Palo Alto Networks bringt anhand vier zentraler Fragen etwas Licht ins Dunkel. [...]

Alex Hinchliffe, Threat Intelligence Analyst bei Palo Alto Networks
Alex Hinchliffe, Threat Intelligence Analyst bei Palo Alto Networks (c) Palo Alto Networks

Wie groß ist die Bedrohung durch Cryptojacking weltweit?

Es ist schwer zu quantifizieren, aber wir wissen, dass wir bei Cryptojacking einen Aufwärtstrend sehen, wenn der Wechselkurs von Kryptowährungen sich gut entwickelt. Dann lässt sich mehr Geld verdienen. Zum Beispiel ist Bitcoin derzeit mit über 9.000 Dollar pro BTC wieder auf einem Höhenflug. Bitcoin wird jedoch selten, wenn überhaupt, für die Art von bösartigem Cryptomining verwendet, die wir in den von unserem Malware-Analysetool WildFire analysierten Bedrohungen sehen. Das liegt daran, dass für das Mining spezielle Hardware benötigt wird, die weder bei Privatanwendern noch bei Unternehmenssystemen üblich ist. Wir sehen jedoch häufig, dass Monero und andere Kryptowährungen verwendet werden. 

Cryptojacking-Angriffe werden immer raffinierter und verwenden Techniken, um ihr Verhalten zu verbergen. Zum Beispiel deckte Unit 42 vor wenigen Wochen ein neues Botnet auf, das von Cyberkriminellen benutzt wird, um Bitcoin abzubauen, ohne entdeckt zu werden. 

Palo Alto Networks beobachtet auch Cyberkriminelle, die Bots benutzen, darunter den Mirai-Bot und den Satori-Bot. Sie aktualisieren die Malware häufig mit Code, um Schwachstellen in Geräten auszunutzen, die von Sicherheitskameras bis zu intelligenten Whiteboards, von Routern bis zu an das NAS-Geräten (Network-attached-Storage) und mehr reichen. Geräte, die durch diese Bedrohungen kompromittiert werden, kommen oft zum Einsatz, um DDoS-Angriffe zu starten. Sie könnten aber leicht von Angreifern kontrolliert werden, um Kryptowährungs-Mining-Code auszuführen. Ein DDoS-Angriff ist eine Art von DoS-Angriff, bei dem sehr viele angreifende Computer eingesetzt werden, um das Ziel mit gefälschtem Datenverkehr zu überwältigen.

Wo und wer wird getroffen?

Cryptojacking ist wirklich global. Ursprünglich waren PCs das Ziel für den Einsatz von Malware und das Mining. Dann gab es eher einen Wechsel zu Browsern mit CoinHive, das nicht mehr läuft, aber einer der beliebteren Browser-Mining-Dienste war, und dann einen weiteren Wechsel zu kompromittierten Routern. Cyberkriminelle suchen nach möglichst vielen Systemen der Opfer, um sie mit Malware zu infizieren, denn je mehr Systeme, seien es PCs, Server, Cloud-Dienste, mobile und IoT-Geräte – wie z.B. Router und sogar medizinische Geräte – desto besser, da mehr Mining auf relativ harmlose und unauffällige Weise erreicht werden kann. 

Umgekehrt könnten andere Arten von Zielen, auf denen Kriminelle Mining-Software einsetzen, weniger, dafür aber wesentlich leistungsfähigere Systeme umfassen, darunter Cloud-Computing-Ressourcen. Sogar Supercomputer werden genutzt, wie die BBC letzte Woche berichtete, als das NCSC-Angriffe gegen ARCHER meldete. Dies folgte ähnlichen Angriffen auf der ganzen Welt, bei denen in einigen Fällen auch Cryptomining-Software eingesetzt wurde.

Wie können sich die Menschen schützen?

Ein Anzeichen dafür, dass ein System von einem Cryptojacking-Angriff getroffen wurde, ist, dass es langsamer als normal läuft. Wenn der Verdacht besteht, dass ein Computer oder ein anderes Gerät von einem Cryptojacking-Angriff betroffen ist, gilt es sofort den Browser zu schließen. In den meisten Fällen wird dadurch der Angriff beendet. 

Unternehmen sollten die Angriffsfläche so weit wie möglich reduzieren, einschließlich der Verhinderung der Ausführung unnötiger Anwendungen. Weitere grundlegende Maßnahmen sind das Patchen von Betriebssystemen/Appliances/Routern/IoT-Geräten und die Umsetzung des Zero-Trust-Modells. Dieses basiert auf dem Prinzip „niemals vertrauen, immer überprüfen“ und soll das anfällige vertrauensbasierte Zugriffsmanagement ersetzen.

Benutzer sollten auch Systeme, insbesondere Server, Router und an das Netzwerk angeschlossene Geräte wie Smartphones, auf anomale Aktivitäten überwachen. Sie sollten zum Beispiel darauf achten, ob Webserver-Inhalte modifiziert wurden und Code enthalten, den die Entwickler nicht geschrieben haben. Diese sollte als nicht genehmigte Änderung von Produktionscode leicht erkennbar sein. Diese Überwachung muss unter Umständen außerhalb eines Unternehmens erfolgen, um sicherzustellen, dass auf dem „Weg“ zum Dienst nicht zusätzlicher unerwünschter Code eingeschleust wird.

Ein Tipp wäre, den Router regelmäßig zu überprüfen, um sicherzustellen, dass vom Internetanbieter initiierte Updates für das Gerät heruntergeladen und installiert werden. Ein Neustart des Routers kann helfen, nicht persistente Bedrohungen zu entfernen, sollten diese im Speicher des Geräts laufen. Wenn Probleme oder vermutete Infektionen fortbestehen, kann es erforderlich sein, das Modem auf die Werkseinstellungen zurückzusetzen, neu zu konfigurieren und Sicherheitsupdates anzuwenden. Andernfalls ist es ratsam, sich an den Internetanbieter zu wenden.

Was gibt es im Kontext noch zu beachten?

CoinHive läuft nicht mehr, so dass die Monero-Währung nicht mehr abgebaut werden kann, obwohl die Forscher von Unit 42 immer noch auf kompromittierte Geräte (Router usw.) und Systeme stoßen, die JavaScript-Code für das Mining ausführen. Ein Beispiel: Vor kurzem stießen die Forscher auf einen kompromittierten (nicht gepatchten) MikroTek-Router, der eingehenden Internetzugang zum Webserver eines Unternehmens bietet. Jedes Mal, wenn ein Besucher auf die vom Webserver bereitgestellten Inhalte zugriff, injizierte der kompromittierte Router den JavaScript-Code in die Sitzung, so dass der Webbrowser des Besuchers den Mining-Code ausführen konnte.

Wenn Cryptomining-Malware auf einem System gefunden wird, könnte dies oft ein sehr starker Hinweis auf eine weitere Kompromittierung sein. Wenn ein Angreifer sich im Netzwerk befindet und ein System kompromittiert hat, könnte er andere kompromittiert haben und vielleicht neben dem Mining auch andere Aktionen zur Erreichung von Zielen durchführen. Es könnte auch der Fall sein, dass mehr als ein Angreifer dieselbe Sicherheitslücke ausgenutzt hat und möglicherweise andere – gefährlichere – Aktivitäten ausführt.

*Alex Hinchliffe ist Threat Intelligence Analyst bei Palo Alto Networks  und leitet EMEA-Forschungsabteilung Unit 42.


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*