Suchen

Hacker im digitalen Goldrausch So schützen sich Unternehmen vor Cryptojacking

| Autor / Redakteur: Egon Kando / Peter Schmitz

Cryptojacking ist immer noch ein lukratives Geschäft für Cyberkriminelle. Hierbei kapern Angreifer fremde IT-Ressourcen, um auf Kosten der Opfer unbemerkt Crypto-Währungen wie Monero oder Bitcoin zu schürfen. Jede neue Währungseinheit basiert dabei auf dem Lösen eines komplexen mathematischen Problems, das enorme Rechenleistung in Anspruch nimmt.

Firmen zum Thema

Für Unternehmen wird Cryptojacking durch externe Cyberkriminelle, bzw. Shadow-Mining durch Innentäter auch in Zukunft ein ernstzunehmendes Problem bleiben.
Für Unternehmen wird Cryptojacking durch externe Cyberkriminelle, bzw. Shadow-Mining durch Innentäter auch in Zukunft ein ernstzunehmendes Problem bleiben.
(Bild: gemeinfrei / Pixabay )

Für Unternehmen haben Cryptojacking-Angriffe nicht nur erhöhte Stromkosten, sondern auch mögliche IT-Ausfallzeiten, Hardware-Ausfälle und Produktivitätsverluste zur Folge. Dabei kann die Gefahr nicht nur von externen Angreifern, sondern auch von böswilligen Insidern ausgehen.

Externe Bedrohung Cryptojacking

Der Begriff „Cryptojacking“ bezeichnet eine externe Bedrohung, bei Hacker beispielsweise Nutzerkonten kompromittieren, um heimlich Crypto-Währungen über die IT-Ressourcen einer Organisation zu schürfen. Mögliche Infektionswege sind etwa Mitarbeiter, die Opfer von Angriffen wie Phishing, Clickbait oder Drive-by werden. Weitere Gefahrenquellen können kostenlose Software, Video-Streaming-Websites und File-Sharing-Netzwerke darstellen, die Computer von Benutzern unbemerkt für Cryptomining missbrauchen. Eine weitere Methode von Cyberkriminellen ist das Kapern einer gesamten Infrastruktur: Diese Aktionen können über längere Zeit unbemerkt bleiben, da beim Cryptomining nicht viel Datenverkehr erzeugt wird und eine relativ hohe Belastung von Servern in Rechenzentren in der Regel unauffällig ist.

Shadow-Mining: Die Gefahr im Inneren

Gefährdet ein böswilliger Insider die Ressourcen seiner eigenen Organisation, um heimlich Crypto-Währungen rechnen zu lassen, spricht man auch von „Shadow-Mining“, einer Form der Shadow IT. Insider können zum Beispiel Mitarbeiter sein, die Zugriff auf sehr leistungsstarke Computersysteme haben und diese außerhalb der Dienstzeiten für das Schürfen von Crypto-Währung missbrauchen. Im kleineren Stil kann ein Mitarbeiter auch Cryptomining-Software auf seinen Rechner herunterladen und diese nur im Leerlauf des Computers ausführen. Hierbei legitimieren Täter ihr Verhalten damit, dass sie ihren Rechner nur für Cryptomining nutzen würden, wenn er sonst nicht in Gebrauch ist.

Die Täter sind beim Shadow-Mining darauf angewiesen, Sicherheitssysteme bewusst so zu konfigurieren, dass sie fehlerhaft funktionieren. Die illegal eingeführte Mining-Software verbraucht damit nicht nur zusätzliche Ressourcen, sondern macht betroffene Rechner auch weniger zuverlässig und erhöht die Angriffsfläche für externe Bedrohungen.

Warnzeichen für illegales Cryptomining

Cryptomining verschlingt enorme Energiemengen. Doch der Stromverbrauch eines Unternehmens hängt von vielen Faktoren ab, etwa von der Anzahl der verbauten CPUs und GPUs in Rechnern, der Häufigkeit und Intensität der Nutzung jeweiliger Rechner und variabler Kühlkosten. Daher ist es schwierig, Angriffe allein daran zu erkennen.

Eine bessere Methode, um Cryptojacking und Shadow-Mining aufzuspüren, ist die Überwachung und Analyse des Nutzerverhaltens, da Cryptomining deutliche Abweichungen der üblichen Nutzung eines Rechners oder Servers auslöst. Warnzeichen sind zum Beispiel die plötzliche Änderung in Kapazität oder Nutzung sowie anormale ausführbare Dateien. Gleiches gilt für plötzliches, nächtliches Auftreten einer ungewöhnlichen ausführbaren Datei in einer Umgebung, die normalerweise nur EXCHANGE.EXE oder NTDS.EXE ausführt, oder ein Rechner, der sonst nur tagsüber in Betrieb ist, aber nun rund um die Uhr im Einsatz ist.

Entity Analytics zur Abwehr von Cryptojacking

Bestimmte Benchmarks in einer Produktionsumgebung stellen sicher, dass der ordnungsgemäße Service aufrechterhalten wird. Gibt es Abweichungen von diesen Benchmarks, kann dies ein Anzeichen für Cryptojacking sein. Jedoch ist es für IT-Teams zu zeitaufwändig, kompliziert und mühsam, ihre Infrastruktur manuell nach Anomalien abzusuchen. Um verdächtiges Verhalten zu erkennen, kann jedoch das normale Verhalten jedes einzelnen Hosts anhand von laufenden Prozessen, Verbindungen nach Außen und genutzter Kapazität sowie Auslastung modelliert werden. Sicherheitslösungen, die Entity Analytics nutzen, können hier automatisch ungewöhnliche Aktivitäten von Rechnern erkennen und schlagen Alarm, wenn ein Server von seinem üblichen Verhalten abweicht.

Schätzungen zufolge liegt der aktuelle globale Stromverbrauch für Server, auf denen Bitcoin-Software läuft, bei mindestens 2,55 Gigawatt, was einem Stromverbrauch von 22 Terawattstunden (TWh) pro Jahr entspricht. Aufgrund des massiven Energieverbrauchs werden Kriminelle kontinuierlich nach Möglichkeiten suchen, Crypto-Währungen abzubauen, ohne selbst dafür die Kosten zu tragen. Für Unternehmen wird Cryptojacking und Shadow-Mining auch in naher Zukunft ein Problem bleiben. Jedoch bieten moderne Sicherheitslösungen, die Entity Analytics nutzen, eine effektive Möglichkeit für IT-Teams, um Cryptojacking und Shadow-Mining aufzuspüren und zu verhindern.

Über den Autor: Egon Kando ist Sales Director Ost- und Zentraleuropa bei Exabeam.

(ID:45909529)