Unerwünschtes Kryptomining – Was ist das eigentlich?

Bei Kryptominern handelt es sich um spezielle Schadsoftware, die ungenutzte Rechenleistung fremder Rechner missbraucht, um Kryptowährung zu schürfen. Nutzer und Admins merken zumeist nichts davon.

Unerwünschtes Kryptomining – Was ist das eigentlich?

Bei Kryptominern handelt es sich um spezielle Schadsoftware, die ungenutzte Rechenleistung fremder Rechner missbraucht, um Kryptowährung zu schürfen. Nutzer und Admins merken zumeist nichts davon.

Lesedauer: 4 Minuten

Lesedauer: 4 Minuten

Wie arbeiten Kryptominer?

Generell gibt es zwei Typen von unerwünschten Kryptominern:

1. Binärbasiert – die Schadsoftware wird direkt auf das Zielgerät heruntergeladen und installiert. Die ESET Lösungen identifizieren diese Malware meist als Trojaner.

2. Browserbasiert – eine Webseite oder ein Teil davon enthält schädlichen JavaScript-Code; die Kryptowährung wird durch die Browser der Webseitenbesucher generiert. Diese Variante wird auch als „Krypto-Jacking“ bezeichnet und scheint sich wachsender Beliebtheit bei Kriminellen zu erfreuen. ESET erkennt die Mehrzahl solcher schädlichen Skripte und kategorisiert sie als potenziell unerwünschte Anwendungen (PUA).

Achtung

Die meisten Kryptominer schürfen Monero oder Ethereum. Der Vorteil für die Kriminellen: Transaktionen sind im Vergleich zu Bitcoin noch schwerer nachvollziehbar. Vor allem jedoch wird für das Schürfen wesentlich weniger leistungsfähige Hardware benötigt, sodass beinahe jeder Rechner missbraucht werden kann. Sowohl Kryptomining als auch Kryptohacking wurden schon auf allen bekannten Betriebssystemen entdeckt, egal ob für Desktop-PCs oder Mobilgeräte.

Was macht Kryptominer vor allem für KMU so gefährlich?

Seit etwa Mitte 2017 steigt die Zahl der Kryptomining-Vorfälle dramatisch an. Im Jahr 2018 allein nahm die Anzahl der Attacken um 83 Prozent zu. Schon in den ersten beiden Quartalen wurden über fünf Millionen Angriffe beobachtet. Zum Vergleich: Im gleichen Zeitraum des Vorjahres hatte es nur 2,7 Millionen Attacken gegeben. In der Praxis heißt das:

1. Das Risiko, das von unerwünschtem Kryptomining ausgeht, sollte auf keinen Fall unterschätzt werden. Die Mining-Aktivitäten schränken die Leistungsfähigkeit und Produktivität von Hardware-Ressourcen teils massiv ein. Zusätzlich werden Komponenten durch den Prozess stark belastet, nutzen sich wesentlich schneller ab oder tragen Überlastungsschäden davon.

2. Kryptominer machen Schwachstellen in der Abwehr des Unternehmens nach außen hin sichtbar, die wiederum Einfallstore für nachfolgende Angriffe mit schwerwiegenderen Folgen sein können. Gerade Unternehmen mit leistungsfähigen IT-Infrastrukturen sind für illegale Kryptominer besonders interessant, versprechen sie doch größere Mining-Erträge in kürzerer Zeit.

Wie erkennt man unerwünschte Kryptominer?

Kryptomining und Kryptohacking beanspruchen vor allem Prozessoren. Die erhöhte Aktivität wiederum löst Effekte aus, die sich direkt beobachten lassen:

  • Spürbar verringerte Leistung der Infrastruktur
  • Auffällig hoher Energieverbrauch
  • Untypischer Netzwerktraffic

Auf Android-Geräten führt die zusätzliche Beanspruchung zudem zu:

  • Kürzerer Akku-Laufzeit
  • Merklicher Erwärmung des Geräts
  • Verringerter Leistungsfähigkeit
  • Tatsächlichen Schäden am Gerät (schlimmstenfalls „Explosion“, d.h. Aufblähen und Brand des Akkus)

Wie können sich Unternehmen vor Kryptominern schützen?

1. Statten Sie Endpoints, Server und andere Geräte mit einer mehrschichtigen Sicherheitslösung aus, die sowohl potenziell unerwünschte Kryptomining-Skripte als auch Kryptomining-Trojaner zuverlässig identifiziert.

2. Verwenden Sie eine Intrusion Detection Software (IDS), mit der verdächtige Netzwerkaktivitäten aufgedeckt werden können. Typisch für unerwünschtes Kryptomining sind unter anderem der Zugriff auf infizierte Domains sowie ausgehende Verbindungen aus den Ports 3333, 4444 oder 8333.

3. Verschaffen Sie sich einen Überblick über Ihr Unternehmensnetzwerk. Als besonders nützlich haben sich Remote Management-Konsolen erwiesen, mit denen Sie nicht nur die Umsetzung von Sicherheitsrichtlinien prüfen und einfordern können, sondern auch den Sicherheitsstatus einzelner Endpoints und Server überwachen können.

4. Schulen Sie Ihre Mitarbeiter (inklusive Management und Netzwerk-Administratoren) in Bezug auf gute Sicherheitspraxis und Passworthygiene. Zusätzlich sollten Sie eine Zwei-Faktor-Authentifizierung einführen, sodass Unternehmensdaten auch im Fall von gestohlenen oder anderweitig öffentlich gewordenen Passwörtern geschützt sind.

Weitere Maßnahmen

5. Halten Sie sich an das Prinzip der minimalen Rechte (POLP, Principle of Least Privilege). Hierbei erhält jeder Nutzer nur so viele Rechte, wie er für die Ausführung seiner Arbeitsaufgaben benötigt. So minimieren Sie das Risiko, dass Nutzer versehentlich Kryptominer oder andere Malware auf Unternehmensgeräten öffnen oder installieren.

6. Nutzen Sie die Möglichkeit, nur wirklich benötigte Funktionen von Anwendungen freizuschalten und so die Ausführung unerwünschter Elemente zu verhindern.

7. Führen Sie durchdachte Update- und Patching-Vorgaben ein, um Ihr Unternehmensnetzwerk vor bereits bekannten Gefahren zu schützen. Auch wenn sie bereits seit Langem bekannt sind, sind Exploits wie EternalBlue auch weiterhin beliebt, um Kryptominer auf Zielrechner zu schleusen.

8. Behalten Sie den Energieverbrauch der Rechner in Ihrem System im Auge. Ein erhöhter Energieverbrauch oder andere Anomalien können auf unerwünschtes Kryptomining hindeuten.

Schützen Sie Ihr Unternehmen

Machen Sie sich den mehrschichtigen ESET Schutz für Endpoints zunutze und schützen Sie sich und Ihr Netzwerk umfassend vor Kryptomining-Skripten und -Trojanern. Inklusive Ransomware Shield, Schutz vor Netzwerkangriffen sowie Anbindung an ESET LiveGrid. In Kombination mit dem ESET Cloud Administrator haben Sie stets im Blick, was in Ihrem Netzwerk passiert.