Cryptojacking: Wenn der Computer zur Mine wird

Blog Cybersicherheit
Pic Source: Ewan Kennedy via Unsplash

Die Kryptowährung Bitcoin erlebte in den letzten Wochen einen rasanten Höhenflug: Innerhalb von vier Wochen verdoppelte sich sein Wert von 20.000 auf kurzzeitig 42.000 Dollar – um dann an einem Tag um 8.000 Dollar zu fallen. Doch nicht nur die Volatilität dieser Digitalwährung macht Sorgen: Bei vielen Angriffen mit Ransomware verlangen die Hacker ihr Lösegeld in Bitcoins. Cyberkriminelle zapfen auch immer öfter Privatrechner und Firmennetzwerke an, um Kryptowährungen zu schürfen – ohne dass der Besitzer des Rechners es bemerkt.

Wie das Cryptojacking funktioniert, und wie Sie sich davor schützen:

Es ist gerade einmal zehn Jahre her, dass der Programmierer Laszlo Hanyecz 10.000 Bitcoins für zwei bestellte Pizzen bezahlte und damit die erste dokumentierte Transaktion einer Kryptowährung für ein reales wirtschaftliches Gut vornahm. Der Wert der Bitcoins betrug damals noch rund 41 Dollar. Am Tag des letzten Höchststands Anfang Januar 2021 waren die Pizza-Coins fast 420 Millionen Dollar wert.

Kein Wunder, dass das Mining neuer Kryptowährung zur Zeit sehr attraktiv ist. Allerdings lohnt sich das Mining auf legalem Weg durch die enorme benötigte Rechnerleistung und die horrenden Stromkosten schon lange nicht mehr. Die Miner suchen daher verzweifelt nach anderen Ressourcen – und schrecken auch vor illegalen, kriminellen Methoden nicht zurück. Sicherheitsexperten sprechen schon von einer ganz eigenen „Branche“, dem Bitcrime. Forscher der Universität von Sydney haben schon 2018 geschätzt, dass knapp 80 Milliarden US-Dollar an Bitcoins in kriminellen Aktivitäten umgesetzt werden. Und die IT-Analysten von „Cybersecurity Ventures“ rechnen damit, dass 2021 rund 70 Prozent aller Krypto-Münzen durch kriminelle Geschäfte erwirtschaftet werden.

Rechner kidnappen, heimlich schürfen

Entsprechend steigt auch die Zahl der Versuche, Cryptojacking zu betreiben. Denn irgendwann einmal stellten die Miner fest, dass nicht einmal High-End-PCs mit einem leistungsstarken Prozessor ausreichten, um beim Schürfen Gewinn zu machen und die damit verbundenen Kosten abzudecken. So gingen die Miner dazu über, riesige Computerfarmen aufzubauen, um im kommerziellen Maßstab nach Kryptowährungen zu schürfen. Da auch dies angesichts horrender Stromkosten nicht profitabel war, entstand die Idee des Cryptojacking, also Geräte (Computer, Smartphones, Tablets oder sogar Server) ohne die Zustimmung oder das Wissen der Benutzer zu verwenden, um insgeheim Kryptowährung auf Kosten des Opfers zu schürfen.

Grundsätzlich sind zwei Arten von Cryptojacking-Angriffen bekannt: browserbasiert oder durch die Infizierung mit Malware. Browserbasierte Attacken sind vergleichsweise harmlos. Gefährlicher sind Cryptojacking-Angriffe, bei denen Malware nach einer Phishing-Attacke heruntergeladen wird. Sobald der Computer infiziert ist, arbeitet der Cryptojacker rund um die Uhr, um Kryptowährung zu schürfen, und versteckt sich dabei im Hintergrund. Die Kriminellen nutzen dazu Sicherheitslücken in Applikationen wie den Webservern Apache, iis, ngix, php, in Content-Management-Systemen oder Datenbanken, die direkt aus dem Internet erreichbar sind. So können sie das Mining-Script zum Beispiel auf Webservern, Routern oder in Content-Management-Systemen einpflanzen, sodass es an alle Webseiten weiterverteilt wird, die durch diese Systeme fließen. Ziel ist es, ein riesiges Botnet von Geräten zu schaffen und deren CPU-Zyklen für das Cryptomining zu nutzen – zu minimalen Kosten für den Angreifer.

Drei verschiedene Arten von Cryptojacking

Temporäres Cryptojacking
Das Mining läuft nur in einem bestimmten Zeitraum, und zwar immer dann, wenn man sich auf einer bestimmten Webseite aufhält oder eine bestimmte App benutzt, die das eigene System zum Cryptojacking verwendet. Häufig kommen diese Skripte, die zum „Mining“ eingesetzt werden, mit Pop-up- oder Banner-Werbung.

Drive-by-Cryptojacking
Hier bleibt auch beim Verlassen einer entsprechenden Website unbemerkt ein kleines Pop-up-Fenster stehen. Der Mining-Prozess endet erst bei einem Neustart.

Kontinuierliches Cryptojacking
Dieses Verfahren läuft über Malware, die in das Computersystem gelangt. Meist verbirgt sie sich im Anhang von E-Mails oder in JavaScript-Ads.

Wie kann man Cryptomining verhindern?

Achten Sie besonders genau auf so genannte Phishing Mails. Nicht öffnen, nichts klicken!
Blocken Sie das JavaScript in Ihrem Browser, um Drive-by-Cryptojacking zu verhindern.
Verwenden Sie Browsererweiterungen, um gegen Kryptomining vorzugehen. Beispiele: AdBlock, No Coin oder auch MinerBlock.

Die typischen Anzeichen:

  • Hohe Prozessor-Auslastung
  • Ein aufgrund dieser Auslastung langsam arbeitender und reagierender Rechner
  • Auf Hochtouren laufende Rechnerlüftung
  • Starkes Aufheizen und schnelle Batterieentladung bei Smartphones

Was kann ich tun, um meine Sicherheit zu verbessern?

Die meisten Maßnahmen zur Verringerung Ihres Cyberrisikos schützen auch vor Cryptojacking. Zu besonders wichtigen Aspekten gehören u. a.:

  • Mitarbeitersensibilisierungen (Umgang mit E-Mails, Hinweis auf mögliche Anzeichen von Cryptojacking)
  • Absicherung der Internet-Browser
  • Überlegte Vergabe von Admin-Rechten
  • Absicherung und Überwachung der Server
  • Beobachtung und Dokumentation der alltäglichen, üblichen Rechnerauslastung, um ggf. Abweichungen erkennen zu können
  • Digitale Parasiten treiben Stromkosten in die Höhe

Manche Cybersicherheitsexperten weisen darauf hin, dass Cryptojacking-Skripts im Gegensatz zu den meisten anderen Arten von Schadsoftware die Computer oder die Daten der Opfer nicht schädigen. Ärgerlich sei nur die langsamere Computerleistung. Doch für große Organisationen, die von vielen Cryptojacking-Systemen befallen wurden, entstehen dennoch nennenswerte Strom- und IT-Arbeitskosten. Außerdem könnten reduzierte Rechnerleistungen dazu führen, bestimmte Geschäftsprozesse nicht mehr schnell und reibungslos genug ablaufen zu lassen. Anlass zur Sorge (und zur Überprüfung, ob man betroffen ist) gibt es auf jeden Fall. Schliesslich sind die, die anfällig für Mining Malware sind, auch bedroht von anderer Schadstoffsoftware.

Lesen Sie hier auch unseren Glossar-Beitrag zum Thema „Cryptojacking“!