Das heimliche Schürfen von Bitcoin & Co. auf gekaperten Rechnern hat das Potenzial, den gesamten IT-Betrieb eines Unternehmens zu beeinträchtigen. Wie man einen möglichen Befall mit Schadcode erkennt.

Die Geschichte der Kryptowährungen startete im Oktober 2008 mit dem Whitepaper „Bitcoin“ mit der Idee für ein elektronisches Peer-to-Peer-Bezahlsystem, veröffentlicht von einer Person oder Gruppe unter dem Pseudonym Satoshi Nakamoto (siehe die komplette Bitcoin-Geschichte hier bei mir im Blog).

Seitdem sind viele weitere Kryptowährungen auf den Markt gekommen; Stand Dezember 2019 gab es weltweit rund 3000 verschiedene Arten. Doch mit den Vorteilen und der starken Verbreitung von Kryptowährungen kamen auch neue Bedrohungen und Risiken. So ist der Aufstieg von Erpressersoftware, sogenannter Ransomware, stark mit dem Aufstieg der Kryptowährungen verknüpft.

Zugleich sorgen Bitcoin & Co. auch unmittelbar für ein neues Cybersicherheitsrisiko: Denn auch das heimliche Kryptomining bietet wegen des geringeren Risikos und des höheren finanziellen Gewinnpotenzials enorme Anreize für Cyberkriminelle. Dieses auch Kryptojacking genannte Kapern von fremden Rechnerkapazitäten zum illegalen Schürfen von Kryptowährungen – allen voran Bitcoin – ist einfach durchzuführen und zugleich schwerer aufzudecken als Lösegeldangriffe.

Kryptomining selbst ist, einfach ausgedrückt, der Tausch von Computer-Verarbeitungszyklen gegen Geld in Form einer Kryptowährung. Kryptomining – im Deutschen wird auch der Begriff „Schürfen“ verwendet – ist also der Prozess, bei dem Kryptowährungs-Transaktionen in das Blockchain-Kontobuch eingefügt werden. Dieser Schürf-Prozess wird von Kryptominern durchgeführt, die hochleistungsfähige Server und spezialisierte Hardware verwenden, um eine Hash-Funktion zu berechnen und zu verwenden, die es dem Block erlaubt, sich in die Blockchain einzufügen. Im Gegenzug erhält der Schürfer dafür einen gewissen Kryptowährungs-Betrag.

Unter Kryptojacking versteht man hingegen das böswillige Kryptomining durch Cyberkriminelle, die sowohl in Geschäfts- als auch in Privatcomputer, Laptops und mobile Geräte eindringen, um eine entsprechende Software zu installieren. Diese Software nutzt die Leistung und die Ressourcen des Computers, um Kryptowährungen zu schürfen oder auch möglicherweise vorhandenes Kryptowährungs-Guthaben der ahnungslosen Opfern zu stehlen. Dabei ist der Schadcode einfach zu installieren, läuft im Hintergrund und ist schwer zu erkennen.

Mit nur wenigen Zeilen Code ist es Cyberkriminellen möglich, die Ressourcen eines jeden Computers zu kapern. Dies führt bei den infizierten Geräten zu langsameren Reaktionszeiten, erhöhter Prozessorauslastung und Überhitzung sowie zu höheren Stromrechnungen. Die Kernidee ist also, dass Hacker fremde geschäftliche und private Computer- und Geräteressourcen nutzen, um die Rechenarbeit, also das Mining, für sie zu erledigen.

Kryptojacking hat das Potenzial, den gesamten Betrieb eines Unternehmens zu beeinträchtigen. Es ist oftmals schwierig festzustellen, welche der Systeme kompromittiert wurden, zumal der Code oftmals nicht von Security-Software erkannt wird. Insofern müssen IT-Sicherheitsverantwortliche sehr wachsam sein und auf folgende Punkte achten:

• Rückgang der Leistung: Eines der deutlichsten Symptome von Kryptojacking ist ein Rückgang der Leistung der Computer. Dazu gehören nicht nur Desktops und Laptops, sondern auch Tablets und mobile Geräte. Langsamere Systeme können das erste Anzeichen für Kryptomining sein, weshalb Mitarbeiter angewiesen werden sollten, sämtliche Performance-Einbußen an die IT-Abteilung zu melden.
• Überhitzung: Der ressourcenintensive Prozess des Kryptojackings kann dazu führen, dass Computer überhitzen, was zu Schäden führen oder die Lebensdauer verkürzen kann. Ebenfalls mit der Überhitzung von Geräten verbunden (und damit ein gutes Warnsignal) sind Lüfter, die länger laufen als sie sollten, um das System abzukühlen.
• CPU-Auslastung prüfen: Nicht nur IT-Teams sollten regelmäßig die Auslastung des Zentralprozessors (CPU) überwachen und analysieren. Auch Nutzer können dies am eigenen Rechner mittels Aktivitätsmonitor oder dem Task-Manager tun. Hohe CPU-Nutzung ohne erkennbare Aktivitäten auf dem Rechner können ein Anzeichen für Kryptojacking sein, ebenso wie eine steigende CPU-Nutzung beim Besuch auf einer Website mit wenig oder keinem Medieninhalt. Auch dies ist ein Zeichen dafür, dass möglicherweise Kryptomining-Skripts ausgeführt werden.
• Websites überwachen: Cyberkriminelle suchen nach Websites, in die sie Kryptomining-Code einbetten können. Deshalb sollten die eigenen Websites regelmäßig auf Änderungen an Webseiten oder Dateien auf dem Webserver überprüft werden. Diese Früherkennung kann verhindern, dass diese Systeme durch Kryptojacking kompromittiert werden.
• Auf dem neusten Wissensstand bleiben: Cyberkriminelle modifizieren ständig den Code und entwickeln neue Übertragungsmethoden, um aktualisierte Skripte in Computersysteme einzubetten. Deshalb sollten Sicherheitsverantwortliche proaktiv vorgehen und über die neuesten Kryptojacking-Trends Bescheid wissen. Informationen bieten Seiten wie CoinDesk, TodayOnChain oder CryptoSlate.
• Nach Malware suchen: Kryptomining wird oft durch Malware initiiert. Findet die eingesetzte Sicherheitssoftware entsprechenden Schadcode auf dem Rechner, kann dies ein Indiz für (geplante) Kryptomining-Aktivitäten sein. Ambitioniertere Anwender können auch Software wie PowerShell verwenden, um einen Kryptojacking-Angriff zu erkennen.

Die wichtigsten Tipps & Tricks zum Verhindern von Kryptojacking gibt’s in der folgenden Infografik:

Quelle: Varonis

Verwandte Artikel:

Geschichte von Bitcoin von Oktober 2008 bis zu den Kursturbulenzen Ende 2019

Eine Einführung in Bitcoin, Blockchain & Kryptowährungen für Einsteiger

Zehn Jahre Bitcoin: Schneller als E-Mails, langsamer als Smartphones

Kryptowährungen: Bekanntheit von Bitcoin & Co. steigt – Vertrauen sinkt