Hacker im digitalen Goldrausch

So schützen sich Unternehmen vor Cryptojacking

| Autor / Redakteur: Egon Kando / Peter Schmitz

Für Unternehmen wird Cryptojacking durch externe Cyberkriminelle, bzw. Shadow-Mining durch Innentäter auch in Zukunft ein ernstzunehmendes Problem bleiben.
Für Unternehmen wird Cryptojacking durch externe Cyberkriminelle, bzw. Shadow-Mining durch Innentäter auch in Zukunft ein ernstzunehmendes Problem bleiben. (Bild: gemeinfrei / Pixabay)

Cryptojacking ist immer noch ein lukratives Geschäft für Cyberkriminelle. Hierbei kapern Angreifer fremde IT-Ressourcen, um auf Kosten der Opfer unbemerkt Crypto-Währungen wie Monero oder Bitcoin zu schürfen. Jede neue Währungseinheit basiert dabei auf dem Lösen eines komplexen mathematischen Problems, das enorme Rechenleistung in Anspruch nimmt.

Für Unternehmen haben Cryptojacking-Angriffe nicht nur erhöhte Stromkosten, sondern auch mögliche IT-Ausfallzeiten, Hardware-Ausfälle und Produktivitätsverluste zur Folge. Dabei kann die Gefahr nicht nur von externen Angreifern, sondern auch von böswilligen Insidern ausgehen.

Maßnahmen und Prozesse gegen Crypto-Miner

Problemfeld Kryptowährungen

Maßnahmen und Prozesse gegen Crypto-Miner

05.10.18 - Security-Verantwortliche müssen sich beinahe täglich mit immer neuen Herausforderungen beschäftigen. Neben erwarteten Problemen, wie Hacker, Malware und Sicherheits­lücken in Produkten, sind dies aber in zunehmenden Maße, Risiken, die ganz andere, unerwartete Ursachen haben. Das beste Beispiel dafür sind aktuell digitale Währungen wie Bitcoin, Monero oder Ethereum. lesen

Externe Bedrohung Cryptojacking

Der Begriff „Cryptojacking“ bezeichnet eine externe Bedrohung, bei Hacker beispielsweise Nutzerkonten kompromittieren, um heimlich Crypto-Währungen über die IT-Ressourcen einer Organisation zu schürfen. Mögliche Infektionswege sind etwa Mitarbeiter, die Opfer von Angriffen wie Phishing, Clickbait oder Drive-by werden. Weitere Gefahrenquellen können kostenlose Software, Video-Streaming-Websites und File-Sharing-Netzwerke darstellen, die Computer von Benutzern unbemerkt für Cryptomining missbrauchen. Eine weitere Methode von Cyberkriminellen ist das Kapern einer gesamten Infrastruktur: Diese Aktionen können über längere Zeit unbemerkt bleiben, da beim Cryptomining nicht viel Datenverkehr erzeugt wird und eine relativ hohe Belastung von Servern in Rechenzentren in der Regel unauffällig ist.

Shadow-Mining: Die Gefahr im Inneren

Gefährdet ein böswilliger Insider die Ressourcen seiner eigenen Organisation, um heimlich Crypto-Währungen rechnen zu lassen, spricht man auch von „Shadow-Mining“, einer Form der Shadow IT. Insider können zum Beispiel Mitarbeiter sein, die Zugriff auf sehr leistungsstarke Computersysteme haben und diese außerhalb der Dienstzeiten für das Schürfen von Crypto-Währung missbrauchen. Im kleineren Stil kann ein Mitarbeiter auch Cryptomining-Software auf seinen Rechner herunterladen und diese nur im Leerlauf des Computers ausführen. Hierbei legitimieren Täter ihr Verhalten damit, dass sie ihren Rechner nur für Cryptomining nutzen würden, wenn er sonst nicht in Gebrauch ist.

Die Täter sind beim Shadow-Mining darauf angewiesen, Sicherheitssysteme bewusst so zu konfigurieren, dass sie fehlerhaft funktionieren. Die illegal eingeführte Mining-Software verbraucht damit nicht nur zusätzliche Ressourcen, sondern macht betroffene Rechner auch weniger zuverlässig und erhöht die Angriffsfläche für externe Bedrohungen.

Warnzeichen für illegales Cryptomining

Cryptomining verschlingt enorme Energiemengen. Doch der Stromverbrauch eines Unternehmens hängt von vielen Faktoren ab, etwa von der Anzahl der verbauten CPUs und GPUs in Rechnern, der Häufigkeit und Intensität der Nutzung jeweiliger Rechner und variabler Kühlkosten. Daher ist es schwierig, Angriffe allein daran zu erkennen.

Cryptojacking erkennen und stoppen

Unerwünschtes Crypto-Mining

Cryptojacking erkennen und stoppen

28.06.18 - Kaum ein Thema beschäftigt aktive Computer­anwender derzeit so stark wie die Krypto­währungen Bitcoin & Co. Gerade die enormen Kurschwankungen wecken bei vielen Menschen den Wunsch, von diesen digitalen Währungen zu profitieren. Und immer häufiger werden für das Schürfen des digitalen Goldes auch Unternehmensressourcen verwendet - ohne Erlaubnis, dafür aber mit durchaus erwähnenswerten Risiken. lesen

Eine bessere Methode, um Cryptojacking und Shadow-Mining aufzuspüren, ist die Überwachung und Analyse des Nutzerverhaltens, da Cryptomining deutliche Abweichungen der üblichen Nutzung eines Rechners oder Servers auslöst. Warnzeichen sind zum Beispiel die plötzliche Änderung in Kapazität oder Nutzung sowie anormale ausführbare Dateien. Gleiches gilt für plötzliches, nächtliches Auftreten einer ungewöhnlichen ausführbaren Datei in einer Umgebung, die normalerweise nur EXCHANGE.EXE oder NTDS.EXE ausführt, oder ein Rechner, der sonst nur tagsüber in Betrieb ist, aber nun rund um die Uhr im Einsatz ist.

Entity Analytics zur Abwehr von Cryptojacking

Bestimmte Benchmarks in einer Produktionsumgebung stellen sicher, dass der ordnungsgemäße Service aufrechterhalten wird. Gibt es Abweichungen von diesen Benchmarks, kann dies ein Anzeichen für Cryptojacking sein. Jedoch ist es für IT-Teams zu zeitaufwändig, kompliziert und mühsam, ihre Infrastruktur manuell nach Anomalien abzusuchen. Um verdächtiges Verhalten zu erkennen, kann jedoch das normale Verhalten jedes einzelnen Hosts anhand von laufenden Prozessen, Verbindungen nach Außen und genutzter Kapazität sowie Auslastung modelliert werden. Sicherheitslösungen, die Entity Analytics nutzen, können hier automatisch ungewöhnliche Aktivitäten von Rechnern erkennen und schlagen Alarm, wenn ein Server von seinem üblichen Verhalten abweicht.

Schätzungen zufolge liegt der aktuelle globale Stromverbrauch für Server, auf denen Bitcoin-Software läuft, bei mindestens 2,55 Gigawatt, was einem Stromverbrauch von 22 Terawattstunden (TWh) pro Jahr entspricht. Aufgrund des massiven Energieverbrauchs werden Kriminelle kontinuierlich nach Möglichkeiten suchen, Crypto-Währungen abzubauen, ohne selbst dafür die Kosten zu tragen. Für Unternehmen wird Cryptojacking und Shadow-Mining auch in naher Zukunft ein Problem bleiben. Jedoch bieten moderne Sicherheitslösungen, die Entity Analytics nutzen, eine effektive Möglichkeit für IT-Teams, um Cryptojacking und Shadow-Mining aufzuspüren und zu verhindern.

Über den Autor: Egon Kando ist Sales Director Ost- und Zentraleuropa bei Exabeam.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45909529 / Malware)