Cyber-Kriminalität
Cryptojacking ist Energiediebstahl
Cryptojacking ist ein Verbrechen, das leider kaum jemand ernst nimmt. Doch sind die Auswirkungen nicht trivial. Wir führen vor Augen, was dabei passiert und wieso die Folgen nicht übersehen werden sollten. Sie können sich davor schützen.
Save to Folio
Der ukrainischen Polizei ist es in Zusammenarbeit mit Europol gelungen, einen 29-jährigen Mann wegen „Cryptojacking“ zu verhaften. Der Kriminelle habe mit seinen Taten etwa 1,8 Millionen Euro erbeutet, heißt es. Das sind riesige Summen mit einem Verbrechen, das kaum jemand ernst nimmt. So hat auch die Erfolgsmeldung offenbar kein großes Echo erzeugt. Das sollte sich schnell ändern. Denn auch wenn der Polizei die Verhaftung gelungen ist, stellt der Diebstahl von Millionen einen Anreiz für mögliche Nachfolger dar, und die Auswirkungen der Taten sind nicht trivial. Wer diese kriminelle Aktivität versteht, erkennt die Anzeichen eines Angriffs und kann sich schützen!
Kryptowährungen wie Bitcoins müssen von den Interessenten geschürft werden. Dies geschieht über so genannte Miner, die als „Proof of Work“ einen IT-Prozess in Gang setzen, bei dem die Systeme Berechnungen anstellen, die Rechenleistung verbrauchen. Für das Bereitstellen der notwendigen Energie bekommen Miner eine Belohnung, die ihnen wiederum in Form von Kryptowährung ausgezahlt wird.
Aus der verbrauchten Energie wird also die Handelsware. Klar löste das anfangs Goldgräberstimmung aus. Aber wie bei jeder Währung, muss die Menge der verfügbaren Coins begrenzt werden, sonst droht eine Inflation. Das Schürfen von Kryptowährungen ist theoretisch auch heute noch möglich, allerdings verbrauchen die Systeme inzwischen so viel Strom, dass die Kosten den Wert der Coins meist übersteigen -- das heißt, wenn man diese selbst bezahlt. Und genau das wollen Cryptojacker nicht.
Warum sind Cryptojacker erfolgreich
Cryptojacker halten Ausschau nach verwundbaren Systemen. Das sind bevorzugt Cloud-Instanzen, weil es da Skalierungseffekte gibt, die eine Gewinnmaximierung erlauben oder andererseits auch das Verschleiern erleichtern können. Hardware-Betreiber und Nutzer sind zudem verschiedene juristische Personen. Also kann der Betreiber der Rechenzentren nur feststellen, dass ein Kunde seine Ressourcen verbraucht, nicht aber womit. Der Kunde hingegen greift auf einen quasi unendlichen Ressourcenpool zurück und kümmert sich oft nicht darum, welche Auslastung seine Systeme erzeugen.
Den Angreifern bleiben, wenn sie sich geschickt anstellen, Tage bis Wochen oder gar Monate, bevor die Opfer das Problem überhaupt erkennen. Geht es nicht um große Summen, so kümmert sich das Opfer nicht weiter darum, denn die Rechnung des Cloud Providers ist halt wieder mal um ein paar Euro höher. Für den Betrieb eines Coin Miners auf einem Kundensystem wird der Cloud Provider auch keine Haftung übernehmen. Der Kunde ist für die Sicherheit der Daten verantwortlich und auch für die Nutzung der von ihm angemieteten Ressourcen.
Infektion
Das Infizieren verwundbarer Systeme erfolgt nach erprobten Schemata. Als Log4Shell bekannt wurde, gab es innerhalb eines Tages mehrere hunderttausend Angriffe auf die Schwachstelle. Dabei wurden so viele Systeme erfolgreich infiziert, dass Cyberkriminelle wie z.B. Ransomware-Akteure oder Datendiebe gar nicht mehr „alle Anfragen“ bearbeiten konnten. Um dennoch schon Geld zu verdienen, wurden praktisch überall Coin Miner eingebaut. Sie dienten auch als Indikator dafür, dass das System noch für den Kriminellen erreichbar war.
Andere Mechanismen zielen auf schlecht oder unzureichend konfigurierte Systeme. So gelang es einer kleineren deutschsprachigen Gruppe durch einen unzureichende Passwortschutz und ein automatisiertes Skript einige 100 Container über Nacht zu infizieren. Der zuständige Administrator bemerkte seinen Fehler am nächsten Tag und drehte den Geldhahn wieder zu.
Schäden – auch Kleinvieh macht Mist
Die Summe von 1,8 Millionen Euro, die Europol als Beute angibt, hat auch uns überrascht. Anders als bei Ransomware sind die Kosten für diese Art Cyberangriff meist überschaubar. In großen Fällen sprechen wir dabei über fünfstellige Beträge. Meist sind es aber nur wenige hundert oder tausend Euro. Dabei ist anzumerken, dass die Energiekosten der Opfer den Gewinn der Täter um ein Vielfaches übersteigen. Ein von Trend Micro durchgeführtes Experiment mit der Technik der Gruppe TeamTNT zeigte, dass den Opfern etwa fünfmal höhere Kosten entstehen. In Zeiten einer unablässigen Energie- und Umweltdiskussion darf nicht unerwähnt bleiben, dass diese Art der Cyberkriminalität nicht zu einer Entspannung beiträgt.
Verteidigung gegen Crypto Mining
Wie so oft in der IT-Security ist die Verteidigung einfach, wenn man weiß, wogegen. Das Problem ist, dass Cryptojacking, anders als Ransomware und Datendiebstahl, nur selten als Bedrohung wahrgenommen wird, zumal die Schäden gering erscheinen.
Der Schutz dagegen ist ganz einfach: richtig konfigurieren und Schwachstellen schließen - das Security-Einmaleins eben. Dies fällt aber wiederum gerade in Cloud-Umgebungen oft nicht leicht. Viele Konfigurationsmöglichkeiten sowie unterschiedlichste Optionen diverser Anbieter stellen selbst Experten häufig vor zu viele Einzelentscheidungen, bei denen Kleinigkeiten übersehen werden können.
Und so etwas wie Schutz vor Malware wird für vergängliche Instanzen wie Container nicht unbedingt als notwendig erachtet. Dabei gibt es Technologie, die hier bei unterstützen kann. Für Fehlkonfigurationen, die nicht nur Coin Miner ermöglichen, sondern auch meist ursächlich für Datendiebstähle sind, gibt es das so genannte Posture Management. Aber auch die Erkennung von Cryptojacking in verschiedenen Systemen ist nur eine Frage der eingesetzten Sicherheitstechnik. Trend Micro kann auf allen Ebenen unterstützen.