Anzeige

Krypto-Jacking

NTT Security (Germany) macht IT-Anwender auf ein neues Phänomen aufmerksam: dem webbasierten Mining von Krypto-Währun­gen ohne Zustimmung des System-Eigners, was nichts anderes als der Diebstahl von Systemressourcen ist. Diese Art der Cyber-Kriminalität ist vor allem im Bildungssektor anzutreffen.

NTT Security hat die Ergebnisse seines monatlichen GTIC Threat Report bekannt gegeben. Die Experten von NTT Security haben in ihrer Studie besonders Krypto-Mining und Krypto-Jacking untersucht.

Bei webbasiertem Krypto-Mining wird ein Code in eine Website eingefügt, der die Teilnahme am Mining einer Krypto-Währung ermöglicht. Es ist oft schwierig, wenn nicht unmöglich, den Unterschied zu erkennen zwischen normalem webbasiertem Krypto-Mining – bei dem der Benutzer einer Website erlaubt, Systemressourcen für das Mining einer Krypto-Währung zu verwenden – und webbasiertem Krypto-Jacking – bei dem der Benutzer der Website dafür keine Erlaubnis erteilt hat.

Bei fast 40 Prozent der analysierten browserbasierten Miner von Krypto-Währungen handelte es sich um nicht näher bestimmtes browserbasiertes Mining, das nicht mit einer bestimmten Mining-Plattform für Krypto-Währungen verbunden ist. Die drei am häufigsten identifizierten Miner für Krypto-Währun­gen waren CoinHive, XMRig und Authedmine.

  • CoinHive – den Daten von NTT Security zufolge machen CoinHive und seine Variationen etwa 55 Prozent der vom 1. Mai bis 31. Juli 2018 beobachteten Krypto-Miner aus. CoinHive ist ein browserbasierter Mining-Service, der typischerweise zum Minen der Krypto-Währung Monero verwendet wird. Monero hat in diesem Jahr an Popularität gewonnen, da es praktisch nicht zurückverfolgbare Transaktionen erlaubt, die es Benutzern – und damit auch Angreifern – ermöglichen, ein hohes Maß an Anonymität zu wahren.

    CoinHive schürft Monero durch die Verwendung ungenutzter Rechenleistung von Benutzersystemen, die mit der infizierten Site verbunden sind. Die Intention von Coinhive bestand darin, Website-Be­sitzern zu helfen, Einnahmen durch Mining zu generieren, allerdings werden Elemente von CoinHive als "go-to" Miner für cyberkriminelle Aktivitäten missbraucht.
     
  • XMRig – die Daten von NTT Security zeigen, dass XMRig etwa fünf Prozent der beobachteten Aktivitäten von Krypto-Minern ausmacht. XMRig ist eine Open-Source-Software, mit der Monero und CryptoNote geschürft werden können. XMRig unterstützt das Mining von Krypto-Währungen durch die Nutzung der Leistung von System-CPUs, NVIDIA-Grafikkarten und AMD-GPUs. Diese Funktionen machen XMRig beliebt, da Benutzer – sowohl legitime Benutzer als auch Cyber-Kriminelle – es auf jeder Hardware, einschließlich Systemen unter Windows, installieren und dann problemlos mit dem Mining beginnen können.
     
  • Authedmine – Authedmine (alias "Authorized Mining") kann definiert werden als CoinHive 2.0 oder CoinHive mit explizitem Opt-in. Aufgrund des schlechten Rufs von CoinHive in Folge der Aktivitäten von Cyber-Kriminellen reagierten die Entwickler mit der Erstellung eines Miners, der nur nach einem ausdrücklichen Opt-in des Benutzers ausgeführt werden kann. Daten zeigen, dass etwa zwei Prozent der beobachteten Krypto-Mining-Aktivität mit Authedmine in Verbindung zu bringen sind.

Dabei ist zu beachten, dass Authedmine Events zwar von Benutzern zu stammen scheinen, die auch verstehen, was sie anklicken. Es ist jedoch sehr wahrscheinlich, dass eine große Zahl von Benutzern das Opt-in akzeptiert, ohne vollständig zu verstehen, welche Prozesse sie dabei erlauben.

Grundsätzlich sind von nicht autorisiertem Krypto-Mining und Krypto-Jacking fast alle Branchen betroffen. Die Daten zeigen aber, dass die Sektoren Bildung, Gesundheitswesen und Finanzen rund 88 Prozent aller identifizierten Fälle von Krypto-Jacking ausmachten.

Mit 57 Prozent ist Bildung der am stärksten betroffene Bereich. Hier erhalten Studenten, Mitarbeiter oder Besucher des Campus oft Zugang zum Netzwerk, so dass es schwierig ist, jedes potenzielle webbasierte Krypto-Jacking-Ereignis zu blockieren. Während Bildungseinrichtungen ihre Personal- und Fakultätsnetze regulieren können und wollen, befinden sich die Studentennetzwerke oft in einem ganz anderen Subnetz und unterliegen eigenen Richtlinien und Nutzungsbedingungen.

"Ein Unternehmen, das einen Krypto-Miner auf ihrer eigenen Website entdeckt, hat ein größeres Problem als nur die betreffende Malware", erklärt René Bader, Lead Consultant Secure Business Applications EMEA bei NTT Security. "Es stellt sich nämlich die Frage, wie der Krypto-Miner überhaupt dorthin gelangen konnte. Daher muss immer auch die Sicherheitsarchitektur des betroffenen Unternehmens überprüft werden."

www.nttsecurity.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!