Cryptojacking

Cryptojacking ist eine neue Form von Schadsoftware, die sich auf Ihrem Gerät verbirgt und dessen Rechenressourcen stiehlt, um nach wertvollen Online-Währungen wie Bitcoin zu schürfen.

Alles, was Sie über Cryptojacking wissen müssen

Cryptojacking (auch bösartiges Cryptomining genannt) ist eine wachsende Online-Bedrohung, die sich auf einem Computer oder Mobilgerät versteckt und dessen Ressourcen nutzt, um nach Online-Geld (Kryptowährung genannt) zu schürfen bzw. zu „minen“. Es ist eine zunehmende Plage, die die Kontrolle über Ihre Webbrowser übernehmen und alle Arten von Geräten – Desktops und Laptops bis zu Smartphones und sogar Netzwerkserver – beeinträchtigen kann.

Wie bei den meisten bösartigen Angriffen auf die vernetzte Öffentlichkeit ist die Motivation Profit, doch im Unterschied zu vielen Bedrohungen ist das Konzept dahinter ein völlig verschleierter Ablauf, der vom Benutzer unerkannt bleibt. Um die Arbeitsweise der Bedrohung zu verstehen und sich dagegen zu schützen, werfen wir zunächst einen Blick auf die Hintergründe.

Was sind Kryptowährungen?

Kryptowährungen sind eine Form von digitalem Geld, das nur online existiert und materiell nicht fassbar ist. Sie entstanden als eine Alternative zu herkömmlichem Geld und gewannen aufgrund ihres zukunftsweisenden Designs, Wachstumspotenzials und ihrer Anonymität an Beliebtheit. Bitcoin war eine der frühen und erfolgreichsten Formen von Kryptowährung, die 2009 herauskam. Im Dezember 2017 erreichte 1 Bitcoin den einmaligen Spitzenwert von 20.000 USD und fiel dann auf 10.000 USD. Der Erfolg von Bitcoin war der Anreiz für Dutzende von anderen Kryptowährungen, die mehr oder weniger auf dieselbe Art funktionieren. Nicht einmal ein Jahrzehnt nach ihrer Entstehung werden Kryptowährungen rund um die Welt beim Einkaufen, Verkaufen und beim Tätigen von Investitionen verwendet.

Aus zwei Wörtern – „Kryptografie“ und „Währung“ – wurde „Kryptowährung“ gebildet, was elektronisches Geld ist und auf den Grundsätzen einer komplexen mathematischen Verschlüsselung basiert. Alle Kryptowährungen existieren als verschlüsselte, dezentrale Geldeinheiten, die Teilnehmer in einem Netzwerk untereinander frei übertragen können. Oder einfacher ausgedrückt: Kryptowährung ist Elektrizität, die in Codezeilen konvertiert wurde, die einen echten monetären Wert haben.

„Einheiten von Kryptowährung („Coins“ genannt) sind lediglich Einträge in einer Datenbank.“

Einheiten von Kryptowährung („Coins“ genannt) sind lediglich Einträge in einer Datenbank. Zur Durchführung einer Transaktion, bei der die Datenbank verändert wird, muss man bestimmte Bedingungen erfüllen. Das ist ähnlich wie beim Nachverfolgen des Geldes auf Ihrem Bankkonto. Wann immer Sie Überweisungen, Abhebungen oder Einzahlungen autorisieren, wird die Datenbank der Bank mit Ihren neuen Transaktionen aktualisiert. Kryptowährungen funktionieren ähnlich, nur mit einer dezentralen Datenbank.

Im Gegensatz zu herkömmlichen Währungen werden Kryptowährungen wie Bitcoin nicht von einer bestimmten Regierung oder Bank gedeckt. Bei Kryptowährung gibt es keine Aufsicht durch einen Staat oder eine Zentralbank. Sie ist dezentralisiert und wird in mehreren duplizierten Datenbanken in einem Netzwerk von Millionen von Computern gleichzeitig verwaltet. Dieses Netzwerk gehört keiner Einzelperson oder Organisation. Und was wichtig ist, die Kryptowährungs-Datenbank hat die Funktion eines digitalen Hauptbuchs. Durch Verschlüsselung wird die Erstellung von neuen Coins kontrolliert und der Geldtransfer verifiziert. Bei all dem bleiben die Kryptowährung und ihre Besitzer völlig anonym.

Die dezentralisierte, anonyme Natur der Kryptowährungen bedeutet, dass keine Aufsichtsbehörde darüber entscheidet, wie viel Geld in Umlauf gebracht wird. Stattdessen kommen die meisten Kryptowährungen durch einen Prozess namens „Mining“ in Umlauf. Ohne sich in allzu tief greifenden Details zu verlieren, kann man sagen, dass beim Mining-Prozess im Grunde Rechenressourcen in Coins einer jeweiligen Kryptowährung umgewandelt werden. Zu Beginn konnte jeder, der einen Computer hatte, nach Kryptowährung schürfen, doch das artete sich bald zu einem Wettlauf aus. Heute verwenden die meisten Miner leistungsstarke, spezielle dafür gebaute Computer, die rund um die Uhr nach Kryptowährung schürfen. Nach kurzer Zeit wurde nach neuen Wegen für das Mining von Kryptowährung gesucht und so entstand Cryptojacking. Anstatt sich einen teuren Schürf-Computer anzuschaffen, infizieren Hacker ganz normale Computer und nutzen sie als ein Netzwerk, um ihre Angebote abzugeben.

Wenn Kryptowährungen anonym sind, wie werden sie verwendet?

Die Besitzer von Kryptowährung heben ihr Geld in virtuellen Geldbeuteln, den sogenannten „Wallets“ auf, die durch private Schlüssel sicher verschlüsselt sind. In einer Transaktion erfordert der Geldtransfer zwischen den Besitzern von zwei digitalen Wallets, dass im dezentralisierten, öffentlichen, digitalen Hauptbuch ein Eintrag über diesen Tausch erfolgt. Spezielle Computer sammeln ungefähr alle zehn Minuten Daten über die aktuelle Bitcoin-(oder eine andere Kryptowährungs-)Transaktion und verwandeln sie in ein mathematisches Rätsel. Dort wartet die Transaktion-innerhalb-eines-Rätsels auf eine Bestätigung.

Die Bestätigung kommt nur dann, wenn Mitglieder einer anderen Kategorie von Teilnehmern, die Miner genannt werden, die komplexen mathematischen Rätsel, die zur Legitimation der Transaktion dienen, unabhängig voneinander lösen und so die Transaktion von einem Wallet-Besitzer zum anderen vervollständigen. In der Regel arbeitet eine Armee von Minern gleichzeitig daran, um das Rätsel in einem Wettlauf zu lösen und der Erste zu sein, der die Transaktion mit Hilfe des Rätsels Lösung authentifiziert.

„Miner stellten fest, dass nicht einmal High-End-PCs mit einem leistungsstarken Prozessor ausreichten, um beim Schürfen Gewinn zu machen und die damit verbundenen Kosten abzudecken.“

Der Miner, der das verschlüsselte Problem als Erster löst, erhält eine Belohnung – meist eine bestimmte Summe von neuem Cryptocoin. Dieser Ansatz wurde als ein besonderer Anreiz für diejenigen entwickelt, die ihre Zeit und die Rechenleistung ihrer Computer dafür opferten, das Netzwerk aufrechtzuerhalten und neue Coins zu erstellen. Da die Komplexität bei den Rechenoperationen für das Rätsel mit der Zeit immer mehr zunahm (vor allem für Bitcoin), stellten Miner fest, dass nicht einmal High-End-PCs mit einem leistungsstarken Prozessor ausreichten, um beim Schürfen Gewinn zu machen und die damit verbundenen Kosten abzudecken.

Miner verstärkten ihre Anstrengungen, indem sie ausgeklügelte Videokarten, manchmal mehrere Karten, hinzunahmen, um die aufwendigen Berechnungen zu bewältigen. Schließlich gingen Miner, die wettbewerbsfähig bleiben wollten, dazu über, eine riesige Farm von Computern mit dedizierter Hardware aufzubauen, um im kommerziellen Maßstab nach Kryptowährungen zu schürfen. Und das ist der Punkt, an dem wir heute sind: Ernsthafte Kryptowährungs-Player investieren großes Geld in einen Kampf mit hohen Spieleinsätzen gegen andere Miner, um das Rätsel als Erster zu lösen und die Belohnung einzustreichen.

Diese gewaltige Anstrengung zu erbringen, ist ein höchst teurer Wettlauf, der sehr viel Rechnerleistung und Elektrizität erfordert, um die Chance der Miner auf Profit zu erhöhen. Zum Beispiel kamen Berichten zufolge die Stromrechnungen in China, bevor das Land den Kryptowährungsfarmen ein Ende bereitete, auf monatlich 80.000 USD.

„Wenn Sie zum Opfer von Cryptojacking werden, merken Sie es womöglich nicht.“

Was ist Cryptojacking?

Cryptojacking ist ein Plan, Geräte (Computer, Smartphones, Tablets oder sogar Server) ohne die Zustimmung oder das Wissen der Benutzer zu verwenden, um insgeheim Kryptowährung auf Kosten des Opfers zu schürfen. Anstatt dedizierte Computer für das Cryptomining zu bauen, stehlen Hacker mittels Cryptojacking die Ressourcen der Benutzer, die ihnen zum Opfer fallen. Wenn man all diese Ressourcen addiert, sind Hacker in der Lage, mit hoch entwickelten Cryptomining-Operationen mitzuhalten, ohne für die teuren Betriebskosten aufkommen zu müssen.

Wenn Sie zum Opfer von Cryptojacking werden, merken Sie es womöglich nicht. Die meiste Cryptojacking-Software bleibt dem Benutzer von ihrem Design her verborgen, aber das heißt nicht, dass dies keinen Preis hat. Dieser Diebstahl Ihrer Rechenressourcen verlangsamt andere Prozesse, treibt Ihre Stromrechnung in die Höhe und verkürzt das Leben Ihres Gerätes. Je nachdem, wie subtil der Angriff ist, bemerken Sie vielleicht bestimmte Warnsignale. Wenn Ihr PC oder Mac langsamer wird oder den Kühler mehr als normalerweise nutzt, haben Sie Grund zur Annahme, dass Cryptojacking dahintersteckt.

Die Motivation hinter Cryptojacking ist einfach: Geld. Das Schürfen von Kryptowährungen kann sehr lukrativ sein, doch Profit zu machen, ist ohne die entsprechenden Mittel zur Deckung der hohen Kosten nahezu unmöglich. Für jemanden mit begrenzten Mitteln und einer fragwürdigen Moral ist Cryptojacking ein effektiver, kostengünstiger Weg zum Schürfen wertvoller Coins.

Aktuelles zum neuesten Fall von Cryptojacking (bösartigem Cryptomining)

Der Bericht von Labs CTNT zeigt eine Umorientierung in der Bedrohungslandschaft hin zu Cryptomining
Bösartiges Cryptomining und die schwierige Frage von Blacklists
Der Status von bösartigem Cryptomining

Wie funktioniert Cryptojacking?

Cryptojacker gehen mehr als nur einen Weg, um Ihren Computer zu ihrem Sklaven zu machen. Eine Methode funktioniert wie die klassische Schadsoftware. Sie klicken auf einen bösartigen LInk in einer E-Mail und daraufhin wird der Cryptomining-Code direkt auf Ihren Computer geladen. Sobald Ihr Computer infiziert ist, arbeitet der Cryptojacker rund um die Uhr, um Kryptowährung zu schürfen, und versteckt sich dabei im Hintergrund. Weil er sich auf Ihrem Computer befindet, stellt er eine lokale, permanente Bedrohung dar, die selbst den Computer infiziert hat.

Ein alternativer Cryptojacking-Ansatz wird manchmal als Drive-by-Cryptomining bezeichnet. Ähnlich wie bei bösartigen, mit Werbung verbundenen Exploits umfasst der Plan das Einbetten von JavaScript-Code auf einer Webseite. Anschließend wird auf den Rechnern von Benutzern, die die Seite besuchen, Kryptowährung geschürft.

„Drive-by-Cryptomining kann sogar Ihr Android-Mobilgerät infizieren.“

Bei der anfänglichen Erscheinungsform von Drive-by-Cryptomining versuchten Web-Publisher, die von der Bitcoin-Begeisterung hingerissen waren, ihren Umsatz aufzubessern und aus ihrem Traffic zu profitieren, und baten ihre Besucher ganz offen um die Genehmigung, Kryptowährungen zu schürfen, während sie sich auf deren Website aufhielten. Das wurde als ein fairer Handel angesehen: Sie erhalten kostenlosen Content, während Ihr Computer für das Mining verwendet wird. Wenn Sie zum Beispiel auf einer Gaming-Website sind, dann bleiben Sie wahrscheinlich längere Zeit, während der JavaScript-Code Coins schürft. Wenn Sie die Seite später verlassen, wird auch das Cryptomining beendet und gibt Ihren Computer frei. Theoretisch ist das nicht so schlimm, solange die Website ihre Vorgehensweise nicht verheimlicht, aber es ist nicht so einfach, Sicherheit darüber zu haben, dass die Websites ein faires Spiel treiben.

Bösartigere Versionen von Drive-by-Cryptomining scheren sich nicht um eine Genehmigung und schürfen, nachdem Sie die ursprüngliche Website geschlossen haben, noch lange weiter. Das ist eine allgemein verbreitete Methode von Inhabern dubioser Websites oder Hackern, die legitime Websites kompromittiert haben. Benutzer sind ahnunglos darüber, dass eine Website, die sie aufgerufen haben, ihren Computer für das Schürfen von Kryptowährung verwendet hat. Der Code verwendet gerade noch ausreichende Systemressourcen, um unbemerkt zu bleiben. Obwohl der Benutzer denkt, dass die sichtbaren Browserfenster geschlossen sind, bleibt ein verborgenes geöffnet. Normalerweise ist es ein Pop-under-Fenster, das so angepasst ist, dass es unter die Anwendungsleiste oder hinter die Uhr passt.

Drive-by-Cryptomining kann sogar Ihr Android-Mobilgerät infizieren. Es setzt dieselben Methoden ein, die auf Desktops abzielen. Manche Angriffe erfolgen durch einen in einer heruntergeladenen App versteckten Trojaner. Zudem können die Telefone von Benutzern auf eine infizierte Website umgeleitet werden, die ein hartnäckiges Pop-under-Fenster hinterlässt. Es gibt sogar einen Trojaner, der in Android-Telefone eindringt; er verwendet dazu ein richtig gemeines Installationsprogramm, das den Prozessor derart strapazieren kann, dass sich das Telefon aufheizt. Dann schwillt die Batterie an und Ihr Android ist praktisch kaputt. Das gibt es also auch.

Sie fragen sich vielleicht, warum gerade Ihr Teleon und seine nicht so große Rechenleistung von Interesse sein könnte. Doch wenn diese Angriffe massenweise erfolgen, addiert sich die größere Anzahl von Smartphones zu einer kollektiven Stärke, die das Interesse von Cryptojackern weckt.

Manche Cybersicherheitsexperten weisen darauf hin, dass Cryptojacking-Skripts, im Gegensatz zu den meisten anderen Arten von Schadsoftware, Computer oder die Daten der Opfer nicht schädigen. Doch entwendete CPU-Ressourcen haben Konsequenzen. Sicher, die langsamere Computerleistung könnte für den individuellen Benutzer nur ein Ärgernis darstellen. Doch für große Organisationen, die möglicherweise von vielen Cryptojacking-Systemen gebeutelt wurden, entstehen sehr reale Kosten. Stromkosten, IT-Arbeitskosten und verpasste Geschäftschancen sind nur einige der Konsequenzen, wenn eine Organisation von Drive-by-Cryptojacking betroffen ist.

Wie weit verbreitet ist Cryptojacking?

Cryptojacking ist relativ neu, hat sich aber schon zu einer der häufigsten Online-Bedrohungen gemausert. In einem kürzlichen Malwarebytes-Blog hat unser Intel-Team gemeldet, dass bösartiges Cryptomining (eine andere Bezeichnung fü Cryptojacking) seit September 2017 zu der am meisten erkannten Schadsoftware zählt. Im darauffolgenden Monat hat Fortune in einem Artikel, der im Oktober 2017 veröffentlicht wurde, darauf hingewiesen, dass Cryptojacking die nächste große Sicherheitsbedrohung in der Online-Welt ist. Aktuell haben wir im Verlauf des ersten Quartals von 2018 einen Anstieg um 4000 Prozent gesehen, was Android-basierte Cryptojacking-Schadsoftware betrifft.

Und wichtiger noch: Die Cryptojacker drehen ihr Spiel immer mehr auf und dringen zunehmend in leistungsstarke Hardware ein. Ein Beispiel ist ein Vorfall, bei dem Kriminelle das Kommunikationsnetz für das Steuersystem eines europäischen Versorgungsunternehmens angegriffen und die Fähigkeit der Betreiber unterwandert haben, die Versorgungsanlage zu managen. Bei einem anderen Fall, der in demselben Bericht erwähnt wird, hat eine Gruppe russischer Wissenschaftler den Supercomputer in ihrer Kernforschungsanlage angeblich zum Schürfen von Bitcoin eingesetzt.

„Kriminelle scheinen gar dem Cryptojacking den Vorzug vor Ransomware zu geben.“

So unglaublich diese Fälle auch sind, das Cryptojacking an persönlichen Computern bleibt das vorherrschende Problem, da der Diebstahl von kleinen Mengen von zahlreichen Geräten sich zu großen Mengen summieren kann. In der Tat scheinen Kriminelle dem Cryptojacking den Vorzug vor Ransomware zu geben (die ebenfalls auf Kryptowährung angewiesen ist, um die anonymen Lösegeldzahlungen zu erhalten), da es Hackern potenziell mehr Geld einbringt und dabei mit weniger Risiko verbunden ist.

Wie schütze ich mich vor Cryptojacking?

Ob Sie nun lokal auf Ihrem System mit Cryptojacking konfrontiert werden oder über den Browser, es kann schwierig sein, die Eindringung zu erkennen, nachdem sie schon stattgefunden hat. Ebenso kann das Feststellen der Ursache für die hohe Prozessorauslastung schwierig sein. Prozesse könnten sich verstecken oder als etwas Legitimes ausgeben, um Sie davon abzuhalten, den Missbrauch zu beenden. Ein zusätzlicher Vorteil für die Cryptojacker: Wenn Ihr Computer bei Höchstkapazität ausgeführt wird, fährt er zu einem Schneckentempo herunter und erschwert daher jede Fehlerahndung und -behebung. Hier gilt wie bei allen anderen Vorsichtsmaßnahmen für Schadsoftware: Es ist viel besser, Sicherheit zu installieren, bevor Sie zu einem Opfer werden.

Eine offensichtliche Option ist das Blockieren von JavaScript in dem Browser, den Sie zum Surfen verwenden. Dies stört zwar Drive-by-Cryptojacking, könnte Sie aber auch davon abhalten, die von Ihnen benötigten und bevorzugten Funktionen zu verwenden. Es gibt außerdem spezielle Programme, wie zum Beispiel „No Coin“ und „MinerBlock“, mit denen Mining-Aktivitäten in beliebten Browsern blockiert werden. Beide bieten Erweiterungen für Chrome, Firefox und Opera an. In den aktuellen Versionen von Opera ist No Coin sogar integriert.

„Ganz egal, ob die Angreifer versuchen, Schadsoftware, einen browserbasierten Drive-by-Download oder einen Trojaner zu verwenden, Sie sind vor Cryptojacking geschützt.“

Wir schlagen jedoch vor, eine gezielt entwickelte Lösung zu vermeiden und sich nach einem umfassenderen Programm für Cybersicherheit umzusehen. Malwarebytes zum Beispiel schützt Sie nicht nur vor Cryptojacking. Es verhindert zudem Schadsoftware, Ransomware und eine Reihe von anderen Online-Bedrohungen. Ganz egal, ob die Angreifer versuchen, Schadsoftware, einen browserbasierten Drive-by-Download oder einen Trojaner zu verwenden, Sie sind vor Cryptojacking geschützt.

In einer Bedrohungslandschaft, die sich ständig verändert, ist es eine Vollzeitbeschäftigung, sich vor den neuesten Bedrohungen wie Cryptojacking in Sicherheit zu bringen. Mit Malwarebytes haben Sie die Mittel dazu, jede Art von Eindringen zu erkennen und zu beseitigen und sicherzustellen, dass Ihre Computerressourcen einzig und allein von Ihnen genutzt werden.

(Zur weiteren Lektüre empfiehlt sich „How to protect your computer from malicious cryptomining“ von Pieter Arntz.)

Cyber-Sicherheit, ohne die es nicht geht

Sie möchten über aktuelle Entwicklungen bei der Internetsicherheit auf dem Laufenden sein? Erhalten Sie unseren Newsletter und erfahren Sie, wie Sie Ihren Computer vor Bedrohungen schützen können.

Wählen Sie Ihre Sprache aus.