Krypto-Jacking droht

Das Web-basierte Mining von Kryptowährungen ohne Zustimmung des Systemeigners ist nichts anderes als der Diebstahl von Systemressourcen. Auch NTT Security (Germany) macht IT-Anwender auf dieses Phänomen aufmerksam.

Nach Angaben von NTT Security ist die Art der Cyber-Kriminalität vor allem im Bildungssektor anzutreffen. Die Erkenntnis über Krypto-Mining und Krypto-Jacking entstammt dem monatlichen „GTIC Threat Report“ der Security-Company.

Im Wesentlichen funktioniert das wie folgt: Bei Web-basiertem Krypto-Mining wird ein Code in eine Website eingefügt, der die Teilnahme am Mining einer Kryptowährung ermöglicht. Es ist oft schwierig, wenn nicht unmöglich, den Unterschied zu erkennen zwischen normalem Web-basiertem Krypto-Mining – bei dem der Benutzer einer Website erlaubt, Systemressourcen für das Mining einer Kryptowährung zu verwenden – und Web-basiertem Krypto-Jacking – bei dem der Benutzer der Website dafür keine Erlaubnis erteilt hat.

Welche Währungen sind involviert?

Bei fast 40 Prozent der analysierten Browser-basierten Miner von Kryptowährungen handelte es sich um nicht näher bestimmtes Browser-basiertes Mining, das nicht mit einer bestimmten Mining-Plattform für Kryptowährungen verbunden ist. Die drei am häufigsten identifizierten Miner für Kryptowährungen waren „CoinHive“, „XMRig“ und „Authedmine“.

CoinHive – Den Daten von NTT Security zufolge machen CoinHive und seine Variationen etwa 55 Prozent der vom 1. Mai bis 31. Juli 2018 beobachteten Krypto-Miner aus. CoinHive ist ein Browser-basierter Mining-Service, der typischerweise zum Minen der Kryptowährung „Monero“ verwendet wird. Monero hat in diesem Jahr an Popularität gewonnen, da es praktisch nicht zurückverfolgbare Transaktionen erlaubt, die es Benutzern – und damit auch Angreifern – ermöglichen, ein hohes Maß an Anonymität zu wahren.

CoinHive schürft Monero durch die Verwendung ungenutzter Rechenleistung von Benutzersystemen, die mit der infizierten Site verbunden sind. Die Intention von Coinhive bestand darin, Website-Besitzern zu helfen, Einnahmen durch Mining zu generieren, allerdings werden Elemente von CoinHive als “go-to” Miner für Cyber-kriminelle Aktivitäten missbraucht.

XMRig – Die Daten von NTT Security zeigen, dass XMRig etwa fünf Prozent der beobachteten Aktivitäten von Krypto-Minern ausmacht. XMRig ist eine Open-Source-Software, mit der Monero und „CryptoNote“ geschürft werden können. XMRig unterstützt das Mining von Krypto-Währungen durch die Nutzung der Leistung von System-CPUs, Nvidia-Grafikkarten und AMD-GPUs. Diese Funktionen machen XMRig beliebt, da Benutzer – sowohl legitime Benutzer als auch Cyber-Kriminelle – es auf jeder Hardware, einschließlich Systemen unter Windows, installieren und dann problemlos mit dem Mining beginnen können.

Authedmine – Authedmine (alias „Authorized Mining“) kann definiert werden als CoinHive 2.0 oder CoinHive mit explizitem Opt-in. Aufgrund des schlechten Rufs von CoinHive in Folge der Aktivitäten von Cyber-Kriminellen reagierten die Entwickler mit der Erstellung eines Miners, der nur nach einem ausdrücklichen Opt-in des Benutzers ausgeführt werden kann. Daten zeigen, dass etwa zwei Prozent der beobachteten Krypto-Mining-Aktivität mit Authedmine in Verbindung zu bringen sind.

Dabei ist zu beachten, dass Authedmine Events zwar von Benutzern zu stammen scheinen, die auch verstehen, was sie anklicken. Es ist jedoch sehr wahrscheinlich, dass eine große Zahl von Benutzern das Opt-in akzeptiert, ohne vollständig zu verstehen, welche Prozesse sie dabei erlauben.

Am stärksten betroffen ist der Bildungssektor

Grundsätzlich sind von nicht autorisiertem Krypto-Mining und Krypto-Jacking fast alle Branchen betroffen. Die Daten zeigen aber, dass die Sektoren Bildung, Gesundheitswesen und Finanzen rund 88 Prozent aller identifizierten Fälle von Krypto-Jacking ausmachten.

Mit 57 Prozent ist Bildung der am stärksten betroffene Bereich. Hier erhalten Studenten, Mitarbeiter oder Besucher des Campus oft Zugang zum Netzwerk, so dass es schwierig ist, jedes potenzielle webbasierte Krypto-Jacking-Ereignis zu blockieren. Während Bildungseinrichtungen ihre Personal- und Fakultätsnetze regulieren können und wollen, befinden sich die Studentennetzwerke oft in einem ganz anderen Subnetz und unterliegen eigenen Richtlinien und Nutzungsbedingungen.

René Bader ist Lead Consultant Secure Business Applications EMEA bei NTT Security.

René Bader ist Lead Consultant Secure Business Applications EMEA bei NTT Security.
(Bild: NTT Security (Germany))

René Bader, Lead Consultant Secure Business Applications EMEA bei NTT Security, erläutert: „Ein Unternehmen, das einen Krypto-Miner auf ihrer eigenen Website entdeckt, hat ein größeres Problem als nur die betreffende Malware. Es stellt sich nämlich die Frage, wie der Krypto-Miner überhaupt dorthin gelangen konnte. Daher muss immer auch die Sicherheitsarchitektur des betroffenen Unternehmens überprüft werden.“

https://www.Security-Insider.de/themenbereiche/bedrohungen/malware/articles/785101

Related posts