ENISA Threat Landscape Report zu Cryptojacking

Enisa

 

Der ENISA Threat Landscape Report zu Cryptojacking (Januar 2019 bis April 2020) bietet eine umfassende Analyse dieser besonderen Bedrohung im Bereich der Cybersicherheit. Cryptojacking bezieht sich auf die unbefugte Nutzung der Rechenleistung eines Geräts, um Kryptowährungen zu schürfen, ohne dass der Benutzer dies bemerkt. Diese Art von Angriff hat sich in den letzten Jahren aufgrund des Wachstums von Kryptowährungen wie Monero stark verbreitet.

Was ist Cryptojacking?

Cryptojacking ist die illegale Nutzung von Computerressourcen zum Mining von Kryptowährungen. Die Angreifer kompromittieren dabei häufig Websites, infizieren diese mit Schadsoftware, um die Rechenleistung der Besucher zu missbrauchen. Neben Einzelgeräten sind zunehmend auch Cloud-Infrastrukturen Ziel von Cryptojacking-Angriffen. Dabei ist es für Unternehmen besonders schädlich, weil es zu einer Erhöhung der IT-Kosten, einer verminderten Produktivität und einer Beschädigung von Hardware durch Überbeanspruchung führen kann(ENISA_Threat_Landscape_).

Techniken und Angriffswege

Im Rahmen von Cryptojacking verwenden Angreifer verschiedene Methoden, um die Krypto-Miner auf den betroffenen Geräten zu installieren. Die häufigsten Techniken umfassen:

  • Integration von Cryptojacking in bestehende Malware: Angreifer fügen Cryptojacking-Code zu bereits vorhandener Malware hinzu.
  • Kompromittierung von Websites: Angreifer schleusen schädlichen JavaScript-Code auf Webseiten ein, um die Besucher unbemerkt für das Mining zu nutzen.
  • Drive-by-Downloads: Malware wird automatisch beim Besuch infizierter Webseiten heruntergeladen, ohne dass der Benutzer etwas bemerkt.
  • Nutzung sozialer Netzwerke und Malvertising: Angreifer platzieren schädliche Anzeigen auf Websites, um Krypto-Miner zu verbreiten(ENISA_Threat_Landscape_)(ENISA_Threat_Landscape_).

Entwicklungen und Trends

Im Jahr 2019 war ein Rückgang browserbasierter Cryptojacking-Angriffe zu beobachten, was vor allem auf die Schließung von Coinhive zurückzuführen ist, einem weit verbreiteten JavaScript-basierten Mining-Service. Coinhive wurde von Cyberkriminellen missbraucht, um Monero auf kompromittierten Webseiten abzubauen. Nach seiner Schließung im März 2019 verzeichneten die webbasierten Cryptojacking-Aktivitäten einen Rückgang von 78 %. Dies führte dazu, dass Cyberkriminelle begannen, sich auf leistungsfähigere Ziele wie Server und Cloud-Infrastrukturen zu konzentrieren(ENISA_Threat_Landscape_).

Verschiebung auf dateibasiertes Cryptojacking

Eine weitere signifikante Entwicklung im Bereich Cryptojacking war der Übergang vom browserbasierten Mining hin zu dateibasierten Angriffen. Dateibasierte Mining-Techniken nutzen Sicherheitslücken auf nicht gepatchten Betriebssystemen wie EternalBlue aus, um Malware zu verbreiten. Diese Methode hat sich als wesentlich effektiver erwiesen als browserbasiertes Mining und ist bis zu 25-mal rentabler. Zudem wurden die Krypto-Miner mit zusätzlichen Funktionen ausgestattet, um sensible Daten vom infizierten Gerät zu stehlen(ENISA_Threat_Landscape_).

Häufig betroffene Kryptowährungen und Zielregionen

Die beliebteste Kryptowährung, die für Cryptojacking verwendet wird, ist Monero (XMR). Monero bietet ein hohes Maß an Anonymität und nutzt einen speziellen Proof-of-Work-Algorithmus, der es ermöglicht, auch auf gewöhnlichen CPUs effizient zu minen. Dies macht Monero besonders attraktiv für Cryptojacker. Die am stärksten betroffenen Länder im Jahr 2019 waren Japan, Indien und Taiwan, wobei Japan mit 39,3 % aller Cryptojacking-Fälle weltweit den höchsten Anteil aufwies(ENISA_Threat_Landscape_)(ENISA_Threat_Landscape_…).

Beispiele für größere Cryptojacking-Vorfälle

Der Bericht nennt mehrere bedeutende Vorfälle von Cryptojacking:

  • Im April 2019 nutzte die Cryptojacking-Kampagne Beapy die Sicherheitslücke EternalBlue, um Unternehmen in China zu infizieren und Krypto-Mining-Malware zu verbreiten.
  • Im Mai 2019 wurde die PCASTLE-Malware entdeckt, die hauptsächlich Systeme in China angriff. Diese Malware nutzte dateilose Angriffstechniken, um Monero abzubauen.
  • Ein weiteres Beispiel ist die Malware BlackSquid, die acht bekannte Exploits nutzte, darunter EternalBlue und DoublePulsar, um Webserver in Thailand und den USA zu infizieren(ENISA_Threat_Landscape_)(ENISA_Threat_Landscape_).

Empfehlungen und Abwehrmaßnahmen

Um Cryptojacking zu verhindern, empfiehlt ENISA eine Vielzahl von Maßnahmen:

  • Überwachung der CPU-Auslastung: Verdächtige Spitzen im Stromverbrauch oder in der CPU-Auslastung können ein Hinweis auf Cryptojacking sein.
  • Inhaltsfilterung: Unternehmen sollten Filtersysteme implementieren, um schädliche E-Mail-Anhänge und verdächtige Webseiteninhalte zu blockieren.
  • Endpunktschutz: Der Einsatz von Antivirenprogrammen und Browser-Plug-Ins, die Cryptojacking verhindern, ist essenziell.
  • Regelmäßige Sicherheitsüberprüfungen: Schwachstellen im Netzwerk sollten kontinuierlich geprüft und gepatcht werden, um Exploits wie EternalBlue zu verhindern(ENISA_Threat_Landscape_).

Fazit

Cryptojacking stellt nach wie vor eine ernsthafte Bedrohung dar, insbesondere durch die zunehmende Verlagerung auf leistungsfähigere Infrastrukturen wie Cloud-Umgebungen. Angesichts der lukrativen Natur des Kryptowährungs-Minings und der zunehmenden Professionalisierung der Angriffe bleibt Cryptojacking eine der prominentesten Bedrohungen in der Cybersicherheitslandschaft. Unternehmen müssen verstärkt auf Abwehrmaßnahmen setzen, um diese Angriffe frühzeitig zu erkennen und ihre Ressourcen zu schützen.

 



ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content