pinglabel - stock.adobe.com
Krypto-Jacking: Die Risiken und Herausforderungen
Mining-Malware wird nur selten in Unternehmen entdeckt, agiert sie doch häufig leichtfüßig im Verborgenen. IT-Teams sollten die Bedrohung erst nehmen und dem Risiko entgegenwirken.
Krypto-Jacking ist keine neue Bedrohung, aber sie entwickelt sich stetig weiter. Diese Art von Mining Malware bewegt sich mit dem Preis von Kryptowährungen auf und ab. Im Jahr 2020 erlebte Krypto-Jacking leider einen neuen Aufschwung.
Die größte Entwicklung und Verbreitung von Krypto-Mining-Malware gab es 2018. Im Jahr 2019 stellte sich zu Beginn des Jahres ein Rückgang um 40 Prozent ein, gefolgt von einer stabilen Verbreitungsrate bis in das Jahr 2020 – mit einem leichten Anstieg im August. Diese Trends decken sich mit der Entwicklung des Bitcoin-Preises in den letzten drei Jahren.
Krypto-Jacking wird in der IT-Security-Branche stark unterschätzt, und nur ein kleiner Bruchteil der existierenden Malware wird entdeckt. Dies liegt daran, dass die Mining Malware äußerst leicht, elegant und einfach zu verändern ist. Ihr einziger Zweck besteht darin, mit Hilfe von Computer-CPUs Zahlen zu berechnen, und es ist sehr schwierig, zwischen einem legitimen Skript und einem Krypto-Miner-Skript zu unterscheiden. Darüber hinaus ist der Code oft so angepasst, dass Malware-Scanner ihn komplett übersehen.
Die Sicherheitsbedrohung Krypto-Jacking
Im Vergleich zu anderen Cyberangriffen wie Ransomware scheint Krypto-Jacking nur einen geringen Schaden zu verursachen, der zu einer Forderung an einen Versicherer führen könnte. Aber die Kosten für Ausfallzeiten können schnell steigen. Krypto-Jacking könnte – absichtlich oder unabsichtlich – Server und Geräte lahmlegen. Dies würde zu einem Denial-of-Service-Angriff führen, der Unternehmen und Verbraucher für viele Stunden vom Netz trennen könnte.
Die aktuelle Situation bietet eine perfekte Gelegenheit für Krypto-Miner, ihre Taktiken zu verfeinern und wurmtaugliche Mining Malware zu entwickeln, um illegale Gewinne zu erzielen: Die Preise für Kryptowährungen steigen, die Anzahl an IoT-Geräten hat sich seit 2017 verdoppelt, die Zahl der entdeckten Schwachstellen hat sich im gleichen Zeitraum verdreifacht und Smartphones sind mittlerweile Standard.
Eine durchschnittliche CPU kann im Monero-Netzwerk etwa 500 Hashes pro Sekunde verarbeiten. Server haben viele CPUs, so dass sie ein lukrativeres Ziel als IoT-Geräte (Internet of Things) darstellen, aber IoT-Geräte sind zahlreicher und oft ein einfacheres Ziel. Zu aktuellen Preisen entspricht diese Hash-Rate 0,21 US-Dollar pro Woche pro CPU durch Mining.
Diese Summe erscheint zunächst gering. Aber hier ein anderes Beispiel: Das Mirai-Botnet infizierte 600.000 Geräte. Ein Cross-Site-Scripting-Angriff auf die Google-Seite könnte an einem einzigen Tag sechs Milliarden Geräte betreffen. Heute gibt es etwa 20 Milliarden Geräte, die mit dem Internet verbunden sind. Selbst jemand, der 10.000 der 20 Milliarden Instanzen (0,00005 Prozent) infizieren könnte, wäre in der Lage, 2.100 US-Dollar pro Woche zu verdienen.
Schneller Erfolg: Alle Geräte infizieren
Wie infiziert man 10.000 Geräte? Am einfachsten ist es, auf automatisierte Weise Software mit Schwachstellen zu finden. Das Ausführen von Code ist die am häufigsten gemeldete Schwachstellenkategorie der letzten drei Jahre. Cross-Site-Scripting (XSS) war 2019 die am häufigsten von HackerOne gemeldete Schwachstelle.
Es gibt drei Gründe für die Ausbreitung von Krypto-Jacking: Es erfordert keine erweiterten Berechtigungen, es ist plattformunabhängig und es löst selten Antiviren-Trigger aus. Darüber hinaus ist der Code oft klein genug, um heimlich in Open-Source-Bibliotheken und davon abhängige Systeme einzudringen, auf die andere Plattformen angewiesen sind.
Er kann auch so konfiguriert werden, dass er je nach Gerät gedrosselt wird oder eine verschlüsselte Variante des Domain-Name-Systems (DNS) verwendet, um keinen Verdacht zu erregen.
„Im Vergleich zu anderen Cyberangriffen wie Ransomware scheint Krypto-Jacking nur einen geringen Schaden zu verursachen. Aber die Kosten für Ausfallzeiten können schnell steigen.“
Matthew Honea, Guidewire Software
Krypto-Jacking kann auch für fast jeden Kontext und in verschiedenen Sprachen wie JavaScript, Go, Ruby, Shell, Python, PowerShell und so weiter erstellt werden. Solange die Malware lokale Befehle ausführen kann, kann sie die CPU-Rechenleistung nutzen und Krypto-Währung schürfen.
Neben ganzen Systemen können Krypto-Miner auch in kleinen Arbeitsumgebungen wie Docker-Containern, Kubernetes-Clustern und mobilen Geräten aktiv sein oder falsch konfigurierte Cloud-Instanzen und überprivilegierte Konten nutzen. Die Möglichkeiten sind endlos.
Fehlende Balance: Viele Angriffsziele, geringer Schutz
Ziel der Krypto-Miner ist es, möglichst lange unentdeckt zu bleiben. Selbst wenn die Preise für Kryptowährungen im Wandel sind, ist Krypto-Jacking für finanziell motivierte Akteure immer noch lukrativ. Der Ressourcenaufwand ist minimal, und es werden direkte Gewinne erzielt.
Es gibt drei Gründe, warum Krypto-Jacking-Angriffe zunehmen und die Technik sich weiter entwickeln wird:
-
Die Zahl der potenziellen Ziele geht in die Milliarden. Viele Geräte sind bereits unbemerkt infiziert worden.
-
Es verspricht schnellen Erfolg bei minimalem Aufwand. Es sind keine zusätzlichen Schritte, wie Datenbroker oder „Crypto Tumbling“, ein Verfahren ähnlich der Geldwäsche, erforderlich, um an Geld zu gelangen.
-
Krypto-Jacking ist nur einen Schritt von der Datenexfiltration entfernt. Sobald Umgebungen infiltriert sind, könnte sich Krypto-Jacking leicht zu wurmtauglicher Malware entwickeln, die auf fortschrittlichen Techniken aufbaut. Es könnte sich auch zu Botnets weiterentwickeln, die gestohlene Daten verwenden oder weiterverkaufen.
Zu der großen Anzahl von Angriffszielen kommt erschwerend hinzu, dass Datenpannen in Unternehmen oft nicht gemeldet werden – je nach Gesetzeslage. In Deutschland sieht die DSGVO (Datenschutz-Grundverordnung) eine Meldepflicht nur dann vor, wenn personenbezogene Daten betroffen sind. Da beim Krypto-Jacking in der Regel keine Daten gestohlen oder ein Geschäftsausfall verursacht wird, zwingt niemand die Opfer, einen Angriff zu melden.
Außerdem breitet sich die Malware unbemerkt aus, weshalb sie zu selten gemeldet werden kann. Krypto-Jacking kann auch die meisten IoT-Geräte angreifen, von denen viele keine Malware-Erkennung besitzen.
Krypto-Jacking erfolgreich begegnen
Die Bewertung von Makrotrends ist entscheidend, um die zukünftige Abwehr von Cyberangriffen zu entwickeln. Bedrohungen durch Krypto-Jacking sollten ernst genommen werden, da sie sich jederzeit zu einer Sicherheitslücke entwickeln können. Es ist wichtig, auf mehreren Ebenen nach Bedrohungen durch Krypto-Jacking zu suchen:
-
Identifizieren von Mining-Algorithmen im laufenden Betrieb
-
Vollständige DNS-Untersuchung für alle angeschlossenen Geräte
-
DNS/IP-Alarm für bekannte Mining-Pools, Tor-Nutzung oder Git-Repositories auf der schwarzen Liste
-
CPU/GPU-Überwachung für hohe Auslastung
-
Überwachung der Grundtemperatur für physische Geräte
Darüber hinaus ist ein besserer Einblick in IoT-Geräte und Container erforderlich, um eine anormale Nutzung der Grundstruktur zu erkennen. Solange die IT-Security-Branche nicht in der Lage ist, diese Bedrohung in ihrem vollen Ausmaß effektiv zu erkennen, wird sie weiter zunehmen.
Über den Autor:
Matthew Honea ist Senior Director Cybersecurity bei Guidewire Software. Er verantwortet die Sicherheitsstrategie des Unternehmens sowie deren Umsetzung.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.