Wie arbeiten Kryptominer?
Generell gibt es zwei Typen von unerwünschten Kryptominern:
1. Binärbasiert – die Schadsoftware wird direkt auf das Zielgerät heruntergeladen und installiert. Die ESET Lösungen identifizieren diese Malware meist als Trojaner.
2. Browserbasiert – eine Webseite oder ein Teil davon enthält schädlichen JavaScript-Code; die Kryptowährung wird durch die Browser der Webseitenbesucher generiert. Diese Variante wird auch als „Krypto-Jacking“ bezeichnet und scheint sich wachsender Beliebtheit bei Kriminellen zu erfreuen. ESET erkennt die Mehrzahl solcher schädlichen Skripte und kategorisiert sie als potenziell unerwünschte Anwendungen (PUA).
Achtung
Die meisten Kryptominer schürfen Monero oder Ethereum. Der Vorteil für die Kriminellen: Transaktionen sind im Vergleich zu Bitcoin noch schwerer nachvollziehbar. Vor allem jedoch wird für das Schürfen wesentlich weniger leistungsfähige Hardware benötigt, sodass beinahe jeder Rechner missbraucht werden kann. Sowohl Kryptomining als auch Kryptojacking wurden schon auf allen bekannten Betriebssystemen entdeckt, egal ob für Desktop-PCs oder Mobilgeräte.
Was macht Kryptominer vor allem für KMU so gefährlich?
Eine Studie unter 750 IT-Führungskräften fand heraus, dass 30% aller Unternehmen im Vereinigten Königreich im vergangenen Monat Opfer von Kryptomining-Angriffen geworden waren. In der Praxis heißt das:
1. Das Risiko, das von unerwünschtem Kryptomining ausgeht, sollte auf keinen Fall unterschätzt werden. Die Mining-Aktivitäten schränken die Leistungsfähigkeit und Produktivität von Hardware-Ressourcen teils massiv ein. Zusätzlich werden Komponenten durch den Prozess stark belastet, nutzen sich wesentlich schneller ab oder tragen Überlastungsschäden davon.
2. Kryptominer machen Schwachstellen in der Abwehr des Unternehmens nach außen hin sichtbar, die wiederum Einfallstore für nachfolgende Angriffe mit schwerwiegenderen Folgen sein können. Gerade Unternehmen mit leistungsfähigen IT-Infrastrukturen sind für illegale Kryptominer besonders interessant, versprechen sie doch größere Mining-Erträge in kürzerer Zeit.
Wie erkennt man unerwünschte Kryptominer?
Kryptomining und Kryptojacking beanspruchen vor allem Prozessoren. Die erhöhte Aktivität wiederum löst Effekte aus, die sich direkt beobachten lassen:
- Spürbar verringerte Leistung der Infrastruktur
- Auffällig hoher Energieverbrauch
- Untypischer Netzwerktraffic
Auf Android-Geräten führt die zusätzliche Beanspruchung zudem zu:
- Kürzerer Akku-Laufzeit
- Merklicher Erwärmung des Geräts
- Verringerter Leistungsfähigkeit
- Tatsächlichen Schäden am Gerät (schlimmstenfalls „Explosion“, d.h. Aufblähen und Brand des Akkus)
Wie können sich Unternehmen vor Kryptominern schützen?
1. Statten Sie Endpoints, Server und andere Geräte mit einer mehrschichtigen Sicherheitslösung aus, die sowohl potenziell unerwünschte Kryptomining-Skripte als auch Kryptomining-Trojaner zuverlässig identifiziert.
2. Verwenden Sie eine Intrusion Detection Software (IDS), mit der verdächtige Netzwerkaktivitäten aufgedeckt werden können. Typisch für unerwünschtes Kryptomining sind unter anderem der Zugriff auf infizierte Domains sowie ausgehende Verbindungen aus den Ports 3333, 4444 oder 8333.
3. Verschaffen Sie sich einen Überblick über Ihr Unternehmensnetzwerk. Als besonders nützlich haben sich Remote Management-Konsolen erwiesen, mit denen Sie nicht nur die Umsetzung von Sicherheitsrichtlinien prüfen und einfordern können, sondern auch den Sicherheitsstatus einzelner Endpoints und Server überwachen können.
4. Schulen Sie Ihre Mitarbeiter (inklusive Management und Netzwerk-Administratoren) in Bezug auf gute Sicherheitspraxis und Passworthygiene. Zusätzlich sollten Sie eine Zwei-Faktor-Authentifizierung einführen, sodass Unternehmensdaten auch im Fall von gestohlenen oder anderweitig öffentlich gewordenen Passwörtern geschützt sind.
Weitere Maßnahmen
5. Halten Sie sich an das Prinzip der minimalen Rechte (POLP, Principle of Least Privilege). Hierbei erhält jeder Nutzer nur so viele Rechte, wie er für die Ausführung seiner Arbeitsaufgaben benötigt. So minimieren Sie das Risiko, dass Nutzer versehentlich Kryptominer oder andere Malware auf Unternehmensgeräten öffnen oder installieren.
6. Nutzen Sie die Möglichkeit, nur wirklich benötigte Funktionen von Anwendungen freizuschalten und so die Ausführung unerwünschter Elemente zu verhindern.
7. Führen Sie durchdachte Update- und Patching-Vorgaben ein, um Ihr Unternehmensnetzwerk vor bereits bekannten Gefahren zu schützen. Auch wenn sie bereits seit Langem bekannt sind, sind Exploits wie EternalBlue auch weiterhin beliebt, um Kryptominer auf Zielrechner zu schleusen.
8. Behalten Sie den Energieverbrauch der Rechner in Ihrem System im Auge. Ein erhöhter Energieverbrauch oder andere Anomalien können auf unerwünschtes Kryptomining hindeuten.
Prevent cryptomining now
ESET PROTECT
Advanced
Get effective protection against cryptomining with ESET multilayered endpoint security solutions able to detect potentially unwanted (PUA) cryptomining scripts as well as cryptomining Trojans. Includes Ransomware Shield and LiveGrid® protection via the cloud and network attack protection. Combine ESET’s powerful scanning engine with ESET PROTECT Cloud and gain detailed network visibility.