So kann verstecktes Mining Ihr Unternehmen gefährden

9 Mrz 2018

Im vergangenen Jahr haben wir in unserer Neujahrsprognose bereits vorhergesagt, dass Ransomware – die 2017 ziemlich aus dem Ruder geraten ist – durch ausgeklügelte und raffinierte Cyberbedrohungen in Form von Krypto-Minern abgelöst werden würde. Unsere jüngste Studie hat gezeigt, dass Miner unsere Erwartungen nicht nur erfüllt, sondern diese sogar übertroffen haben.

In den letzten sechs Monaten haben Cyberkriminelle mehr als 7 Millionen US-Dollar mithilfe von versteckten Kryptominern erwirtschaftet. In diesem Beitrag möchten wir genauer darauf eingehen, wie die Miner auf den Computern von Benutzern arbeiten, warum sie zu einer wichtigen Cyberbedrohung geworden sind (insbesondere für Unternehmen) und wie Sie ihre Infrastruktur vor ihnen schützen können.From ransomware to Web miners

 

Aufstieg der Miner

Als die Wechselkurse von Bitcoin und Altcoin (alternative Kryptowährungen) 2017 ihre Höchstmarke erreichten, wurde klar, dass der Besitz von Tokens ein lukratives Geschäft ist. Ein besonders attraktives Feature der Kryptowährungen ist, dass im Gegensatz zu echtem Geld im Grunde genommen jeder mittels Blockchain und mathematischen Berechnungen digitale Währung erzeugen kann und im Gegenzug dafür belohnt wird (hier finden Sie weitere Details zur Funktionsweise der Blockchain).

Allgemein gilt für Mining-Pools (Zusammenschluss von Minern): Je mehr Berechnungen man anstellt, desto mehr Tokens erhält man. Das einzige Problem besteht darin, dass für mehr Berechnungen auch mehr Rechenleistung benötigt wird – folglicherweise wird natürlich auch mehr Strom verbraucht.

Deshalb hat es auch nicht besonders lange gedauert, bis Cyberkriminelle auf die gloreiche Idee kamen, die Rechner anderer zu nutzen, um Kryptowährungen zu schürfen – schließlich liegt es in ihrer DNA, die neuesten Internet-Technologien auszunutzen, um schnelles Geld zu machen. Das Mining wird auf den Computern der Opfer idealerweise so betrieben, dass diese davon nichts mitbekommen. Aus naheliegenden Gründen haben es Cyberkriminelle deshalb besonders auf große Unternehmensnetzwerke mit Hunderten von Computern abgesehen.

Zudem werden sie immer geschickter darin, ihre Pläne in die Praxis umzusetzen. Momentan wurden weltweit mehr als 2,7 Millionen Nutzer von „bösartigen Minern“ angegriffen – das ist 1,5-mal so viel wie noch im Jahr 2016 – und die Zahl zeigt steigende Tendenz. An dieser Stelle möchten wir etwas genauer auf die Technologien eingehen, mit denen Angreifer tagtäglich arbeiten.

Eine versteckte Bedrohung

Die erste Methode vereint praktisch alle Technologien, die zur Durchführung von Advanced-Persistent-Threat-Attacken (APT-Angriffen) eingesetzt werden und in letzter Zeit bei großangelegten Ransomwarekampagnen eine besondere Rolle spielten. Dieselben Methoden werden nun auch zur Verbreitung versteckter Miner eingesetzt.

Eine weitere Möglichkeit, einen versteckten Miner auf dem Computer eines Opfers zu installieren, besteht darin, den Benutzer dazu zu bringen, einen Dropper herunterzuladen, der dann wiederum einen Miner herunterlädt. In der Regel bringen Cyberkriminelle Nutzer dazu, einen Dropper herunter zu laden, indem sie ihn als Werbung oder kostenlose Version eines Produkts tarnen. Auch Phishing-Techniken können dabei helfen, den Miner an den Mann zu bringen.

Nach dem Download wird der Dropper auf dem Computer ausgeführt der den eigentlichen Miner zusammen mit einem speziellen Dienstprogramm, das den Miner im System versteckt, installiert. Das Paket kann Autostart- sowie Autoconf-Tools enthalten, die beispielsweise konfigurieren, wie viel Rechenleistung der Miner in Abhängigkeit von anderen Programmen verwenden darf, um keine Verlangsamung des Systems zu verursachen und keinen Verdacht beim Benutzers zu wecken.

Diese Tools verhindern möglicherweise auch, dass der Benutzer den Miner stoppt. Wenn der Benutzer den Miner erkennt und versucht, ihn zu deaktivieren, wird der Computer einfach neu gestartet. Danach arbeitet der Miner wie zuvor weiter. Kurioserweise verwenden die meisten versteckten Miner den Code ihrer legitimen Gegenstücke, was die Erkennung zusätzlich erschwert.

Eine weitere Möglichkeit illegal Tokens zu schürfen stellt das Web-Mining bzw. das Mining aus dem Browser dar. Dies wird ermöglicht, indem Administratoren einer Website ein Mining-Skript in den Browser einbinden, das ausgeführt wird, wenn jemand die Seite besucht. Während sich der Benutzer auf der Website umschaut, schürft sein Computer eifrig Kryptowährungen (von denen ausschließlich der Kriminelle, der hinter dem Skript steckt, profitiert).

Wie können Unternehmen Geräte vor Minern schützen?

Die modernen Angriffstechnologien und die Komplexität der Erkennung haben es Cyberkriminellen ermöglicht, ganze Botnets mit den Computern der Opfer zu erstellen und sie für verstecktes Mining zu verwenden. Es ist selbstverständlich, dass eine Geschäftsinfrastruktur mit großer Verarbeitungskapazität somit ein attraktives Ziel für Cyberkriminelle ist. Auch die Geräte Ihres Unternehmens könnten gefährdet sein. Daher empfehlen wir, folgdende Maßnahmen zum Schutz Ihres Unternehmens zu implementieren:

    • Installieren Sie Sicherheitslösungen auf allen Computern und Servern, um Ihre Infrastruktur in einer angriffsfreien Zone zu halten.
    • Prüfen Sie Ihr Unternehmensnetzwerk regelmäßig auf Anomalien;
    • Werfen Sie regelmäßig ein Auge auf den Task Manager, über den Eindringlinge böswillige Prozesse starten können;
    • Vergessen Sie auch weniger offensichtliche Zielobjekte wie POS-Terminals oder Verkaufsmaschinen nicht. Auch solche Geräte können Hijacking-Attacken zum Opfer fallen und dann zum versteckten Mining benutzt werden.
    • Verwenden Sie spezialisierte Geräte im Default-Deny-Modus – dies schützt sie nicht nur vor Minern, sondern auch vor vielen anderen Bedrohungen. Der Default-Deny-Modus kann beispielsweise mithilfe von Kaspersky Endpoint Security for Business konfiguriert werden.