Was ist Cryptojacking?

Hacker verwenden Cryptojacking-Code (eine Art von Malware), um wertvolle Cryptowährungen zu generieren und zu sammeln, ohne dass ihnen dabei Kosten entstehen. Im Wesentlichen bringen sie ihre Opfer dazu, ihre eigenen Ressourcen auszugeben, ohne dafür eine Gegenleistung zu erhalten. Cryptojacking ist eine wachsende Bedrohung in der Cybersicherheitslandschaft. Laut dem Sonicwall Cyber Threat Report 2024 stiegen die Cryptojacking-Vorfälle im Jahr 2023 um 659 %.

Die Ressourcen für das Mining von Cryptowährungen können teuer sein. Erfolgreiche Cryptojacking-Angriffe zwingen ihre ahnungslosen Opfer effektiv dazu, die Kosten für den Mining-Prozess der Cryptowährung zu tragen, während der Cryptojacker die Gewinne einsteckt.

Cryptojacking-Angriffe können über das Internet, über browserbasierte Cryptojacking-Skripte (die häufig in JavaScript-Code auf einer Webseite eingebettet sind) oder über Cryptojacking-Malware durchgeführt werden, die als Apps oder als Trojaner-Viren über Social Engineering oder Phishing-Angriffe verbreitet wird. Desktops, Laptops, Server, Smartphones und andere mobile Geräte, die mit Cryptojacking-Code oder Cryptojacking-Software infiziert sind, leiden oft unter einer drastisch reduzierten Leistung, was zu Ausfallzeit und höheren Stromrechnungen führt.   

Cryptojacking unterscheidet sich von anderen Arten von Cyberkriminalität. Während Cyberbedrohungen wie Datenexfiltration oder Ransomware-Angriffe in der Regel darauf abzielen, Benutzerdaten zu stehlen oder zu kapern, stiehlt Cryptojacking-Code effektiv Rechenleistung und Strom. Cryptomining-Malware wurde entwickelt, um Ziele mit subtilem Schadcode zu infizieren, der so konzipiert ist, dass er so lange wie möglich unentdeckt bleibt.   

• Cryptojacking in der Praxis: Cryptojacking-Angriffe, manchmal auch als böswilliges Cryptomining bezeichnet, versuchen, die Computergeräte oder virtuellen Maschinen (VMs) von Benutzern zu kapern. Cryptojacking funktioniert, indem heimlich Rechenleistung von ahnungslosen Opfern abgezogen wird, um digitale Währungen zu schürfen. Cyberkriminelle kassieren alle erwirtschafteten Gewinne aus Cryptowährungen ein, während die Opfer die Rechnung bezahlen.  

• Auswirkungen von Cryptojacking: Opfer von Cryptojacking leiden unter erhöhten Stromkosten und einer verminderten Systemleistung, was zu Schäden an der Hardware und zu Überhitzung führen kann. Erfolgreiche Angriffe können den Datenschutz eines Opfers gefährden und andere Cyberbedrohungen verursachen. 

• Schwachstellen beim Cryptojacking: Zu den Angriffsvektoren gehören Webseiten, Webbrowser, Browsererweiterungen und Plug-ins, Geräte des Internets der Dinge (IoT) sowie E-Mail- und andere Messenger-Apps. Mining-Malware kann die meisten gängigen Betriebssysteme infizieren. Hacker haben es sogar auf große Software- und Serviceanbieter wie Microsoft und YouTube abgesehen.     

• Abwehr von Cryptojacking: Empfohlene Methoden zur Abwehr von Cryptojacking-Angriffen kombinieren Endpoint Detection and Response (EDR), Content Disarm and Reconstruction (CDR) und Antivirenlösungen, regelmäßige Überwachung des Task-Managers und der CPU-Auslastung, Lieferkette, Werbeblocker, Skriptblockierung, Mitarbeiterschulung und Echtzeit-Erkennung.  

Cryptowährung ist eine Art Digital Asset, das keine physische Repräsentation hat, aber gegen Waren und Dienstleistungen wie traditionelle Fiat-Währungen eingetauscht werden kann. Eine wesentliche Innovation von Cryptowährungen ist die Möglichkeit, Gelder direkt zwischen Parteien zu überweisen, ohne dass Zwischenhändler erforderlich sind. Cryptowährungen werden mithilfe der Blockchain-Technologie erstellt.

Eine Blockchain ist wie ein virtuelles Hauptbuch, in dem alle Transaktionen aufgezeichnet werden, die unter Verwendung eines bestimmten Blockchain-Systems durchgeführt werden. Cryptowährungs-Blockchains sind oft Open Source, sodass jeder den zugrunde liegenden Code überprüfen kann.

Neben Cryptowährungen sind Blockchain-Systeme auch für andere Anwendungen nützlich, die jede Art von Aufzeichnungen verfolgen und validieren müssen. Darüber hinaus können private Blockchains von Systemen eingesetzt werden, die sensible Informationen verfolgen. 

• Blockchain: Eine Blockchain ist ein gemeinsam genutztes, unveränderliches digitales Hauptbuch, das zur Aufzeichnung und Nachverfolgung von Transaktionen innerhalb eines Netzwerks verwendet wird und eine verifizierte Single-Source-of-Truth darstellt. 

• Cryptowährung: Eine Cryptowährung ist ein Digital Asset, der durch die Entschlüsselung verschlüsselter Codeblöcke generiert wird, die in einer Blockchain gespeichert sind. Einheiten von Cryptowährungen werden oft als Coins oder Tokens bezeichnet und dienen als Vergütung für Nutzer, die Rechen- und Energieressourcen einsetzen, um Coins zu entschlüsseln und Blockchain-Transaktionen zu validieren.

• Miner: Cryptominer (oder einfach Miner) sind Nutzer, die die Cryptomining-Software ausführen, die neue Token generiert und On-Chain-Transaktionen validiert. 

Was eine Blockchain so leistungsfähig macht, ist die Dezentralisierung. Eine öffentliche Blockchain, wie sie beispielsweise von Bitcoin verwendet wird, wird nicht an einem einzigen Ort gespeichert. Stattdessen wird die Blockchain über eine beliebige Anzahl von Knoten dupliziert – verteilte Computersysteme, auf denen jeweils eine Cryptomining-Software läuft, die die Gültigkeit der gemeinsamen Blockchain überwacht und überprüft.

Wenn eine Transaktion über die Blockchain durchgeführt wird, muss eine bestimmte Anzahl von Knoten die Transaktion validieren, bevor sie in das Gesamtledger geschrieben wird. Dieser Prozess stellt sicher, dass jede Transaktion legitim ist, und löst häufige Probleme mit digitalen Währungen wie Doppelausgaben oder Betrug. Obwohl die Identität einzelner Nutzer anonym sein mag, sind alle Transaktionen auf einer öffentlichen Blockchain öffentlich zugänglich und für jeden mit Zugang einsehbar.

Im Falle von Cryptowährungen speichert die Blockchain auch einige Token oder Coins. Diese Coins sind in komplizierten mathematischen Problemen, sogenannten Hash-Blöcken, verschlüsselt. Um eine neue Coin zu generieren, müssen Nutzer des Blockchain-Systems ihre Rechenressourcen für die Entschlüsselung jedes Hashs einsetzen. Dieser Prozess wird als Cryptomining bezeichnet und erfordert in der Regel enorme Rechenleistung. Benutzer, die ihre eigenen Ressourcen nutzen, um neue Coins zu generieren und die Transaktionen anderer Benutzer zu validieren, werden als Miner bezeichnet.

Das Lösen von Crypto-Hashes und das Validieren von Transaktionen kann sowohl hinsichtlich der Hardware- als auch der Stromkosten teuer sein. Coins sind eine Bezahlung für Miner, die die Kosten für Hardware und Energie tragen. Die Entschlüsselung eines gesamten Hash-Blocks erfordert weitaus mehr Ressourcen als die Validierung einer Transaktion. Das bedeutet, dass die Transaktionsüberprüfung zu einem geringeren Satz vergütet wird, der als proportionaler Prozentsatz des Transaktionswerts im Verhältnis zu den erforderlichen Ressourcen berechnet wird. 

Ein legitimer Cryptowährungs-Mining-Betrieb kann erhebliche Betriebskosten in Form von hohen Stromkosten und teurer Hardware verursachen. Ein Beispiel hierfür sind Grafikprozessoren (GPUs), die für eine verbesserte Rechenleistung und Effizienz entwickelt wurden, die über die Möglichkeiten einer herkömmlichen Zentraleinheit (CPU) hinausgehen. Allerdings benötigen einige Cryptowährungen wie Bitcoin extrem viel Energie und Rechenleistung, während andere Währungen wie Monero weitaus weniger benötigen. 

Erfolgreiche Cryptojacker könnten in der Lage sein, die CPUs (oder jede Art von Prozessor) mehrerer Opfer zu kapern. Sie können effektiv ungenutzte CPU-Zyklen stehlen und sie für die Durchführung von Cryptomining-Berechnungen verwenden, indem sie alle gewonnenen Coins an ihre eigene anonyme digitale Wallet senden. Insgesamt können viele langsamere Prozessoren immer noch eine beträchtliche Menge an Kryptowährung erzeugen. Cryptojacker sind dazu direkt (indem sie den Computer eines Opfers mit Malware infizieren) oder indirekt in der Lage (indem sie Prozessorzyklen nutzen, während ein Benutzer eine infizierte Website besucht). 

Es gibt drei Hauptarten von Cryptojacking, die entweder unabhängig voneinander oder als hybrider Ansatz effektiv eingesetzt werden können. Fortgeschrittenere Arten von Cryptojacking-Code können sich wie ein Wurmvirus verhalten, verbundene Ressourcen infizieren und ihren eigenen Code mutieren lassen, um einer Erkennung zu entgehen. Dies sind die drei Arten von Cryptojacking:

• Browserbasiertes Cryptojacking: Diese Art von Cryptojacking läuft direkt in einem Webbrowser und erfordert keine Installation zusätzlicher Software durch das Opfer. Durch das bloße Aufrufen einer Website, die mit bösartigem Cryptojacking-Code infiziert ist, können die Computerressourcen des Opfers für heimliches Cryptomining missbraucht werden. 

• Hostbasiertes Cryptojacking: Hostbasiertes Cryptojacking bezieht sich auf Cryptojacking-Malware, die auf das Gerät oder System eines Opfers heruntergeladen wurde. Da diese Art von Cryptojacking erfordert, dass Benutzer Software herunterladen und speichern, lässt sie sich leichter erkennen. Es kann jedoch auch rund um die Uhr arbeiten, was zu einem höheren Energieverbrauch und einer größeren Ressourcenbelastung führt. 

• Speicherbasiertes Cryptojacking: Speicherbasiertes Cryptojacking ist schwieriger zu erkennen und seltener als browser- oder hostbasiertes Cryptojacking. Dieser Typ nutzt fortschrittliche Techniken wie Code-Injektion und Speichermanipulation, um RAM für Cryptomining in Echtzeit zu nutzen, ohne Spuren zu hinterlassen. 

Je nach Art des Angriffs folgen die meisten Cryptojacking-Vorfälle einem ähnlichen vierstufigen Prozess.

Die erste Phase eines Cryptojacking-Angriffs dreht sich darum, ein Opfer bösartigem Code auszusetzen. Damit Cyberkriminelle Cryptojacking begehen können, müssen sie eine Methode finden, um eine Art Cryptojacking-Skript in das System des Opfers einzuschleusen.

Dies kann in Form einer Phishing-E-Mail geschehen, die das Opfer dazu verleitet, ein Cryptomining-Programm herunterzuladen, oder aber in Form einer harmlosen JavaScript-fähigen Anzeige auf einer seriösen Website. 

Die Bereitstellungsphase beginnt, sobald der Schadcode in das System des Ziels eingedrungen ist. Während dieser Phase beginnt das Cryptomining-Skript im Hintergrund zu laufen und zieht dabei so wenig Aufmerksamkeit wie möglich auf sich. Je länger ein Cryptojacking-Skript unbemerkt bleibt, desto profitabler kann es sein.

Die „besten“ Cryptomining-Skripte sind so konzipiert, dass sie so viel Rechenleistung wie möglich falsch zuweisen, ohne die Systemleistung des Ziels merklich zu beeinträchtigen. Während die Verwendung eines Skripts, das relativ wenig Rechenleistung benötigt, im Interesse der Cryptominer liegt, da es ihnen hilft, nicht entdeckt zu werden, sind Cryptojacking-Codes von Natur aus raffiniert. Sie beanspruchen oft Ressourcen auf Kosten der Gesamtleistung des Systems und verursachen höhere Energiekosten. 

Sobald die Bereitstellungsphase abgeschlossen ist, beginnt die Mining-Phase. Nach einer erfolgreichen Bereitstellung beginnt der Cryptojacking-Code, die Rechenressourcen des Ziels zum Schürfen von Cryptowährung zu nutzen. Sie tun dies, indem sie entweder komplizierte cryptografische Hashes lösen, die neue Coins generieren, oder indem sie Blockchain-Transaktionen verifizieren, um Cryptowährungs-Belohnungen zu erhalten. 

All diese Belohnungen werden an eine digitale Wallet gesendet, die vom Cryptojacker kontrolliert wird. Opfer von Cryptojacking haben keine Möglichkeit, die Cryptowährung einzufordern, die durch die von ihnen bezahlten Ressourcen generiert wurde.

Cryptowährungen sind schwieriger nachzuverfolgen als herkömmliche Assets. Während einige Coins anonymer sind als andere, kann es unmöglich sein, durch Cryptojacking geschürfte Währungen wiederherzustellen. Auch wenn Transaktionen, die auf öffentlichen Blockchains durchgeführt werden, öffentlich bekannt sind, ist es schwierig, unrechtmäßig erworbene Cryptowährungen zu identifizierbaren Cyberkriminellen zurückzuverfolgen. Und Tools für dezentrale Finanzen (DeFi) können die Verfolgung von Cryptojackern noch schwieriger machen. Mit diesen Tools können Inhaber von Cryptowährungen ihre Crypto-Ressourcen in Tools wie Finanzpools bündeln, die wie traditionelle Anlagechancen funktionieren und Dividenden auszahlen, ohne dass das Anfangskapital abgehoben werden muss. Diese Tools sind zwar für viele seriöse Investoren konzipiert und werden auch von ihnen genutzt, aber Kriminelle können von der Dezentralität von Cryptowährungen profitieren, um ihre Spuren zu verwischen. 

Die Infiltration ist immer der erste Schritt bei jedem Cryptojacking-Angriff. Cryptojacking ist eine gefährliche Form der Cyberkriminalität, da es für Hacker viele Möglichkeiten gibt, Cryptojacking-Code zu verbreiten. Einige Möglichkeiten für einen Hacker, das System eines Zielopfers zu infiltrieren, sind:

• Phishing: Eine Phishing-E-Mail kann einen Link enthalten, der einen Malware-Download auslöst. Ein Opfer könnte auf einen Link klicken, der wie ein digitaler Geschenkgutschein aussieht, aber in Wirklichkeit Malware enthält, und so unwissentlich eine bösartige Cryptomining-Software installieren, ohne zu merken, dass es in die Irre geführt wurde. 

• Falsch konfigurierte Systeme: Falsch konfigurierte virtuelle Maschinen (VMs), Server oder Container , die öffentlich zugänglich sind, stellen eine offene Einladung für Hacker dar, die versuchen, sich einen nicht authentifizierten Fernzugriff zu verschaffen. Für erfahrene Cyberkriminelle ist die Installation von Cryptojacking-Software nach dem Eindringen ein Kinderspiel. 

• Kompromittierte Anwendungen: Der Zugriff auf eine Webanwendung mit ungesicherten Ports, selbst von einem vertrauenswürdigen oder anderweitig wohlmeinenden Anbieter, kann das System des Opfers für Cryptojacking-Code anfällig machen.

• Infizierte Browser-Erweiterungen: Browser-Erweiterungen, auch bekannt als Add-ons oder Plug-ins, sind relativ kleine Softwareprogramme, die dazu dienen, das Surferlebnis eines Benutzers zu verbessern und anzupassen. Erweiterungen wie Werbeblocker oder Password Manager sind für die meisten, wenn nicht sogar alle gängigen Webbrowser (wie Google Chrome, Microsoft Edge, Mozilla Firefox und Apple Safari) verfügbar. Obwohl die meisten Erweiterungen sicher sind, können selbst bekannte und weit verbreitete Erweiterungen durch Cryptojacking-Code kompromittiert werden, der von böswilligen Akteuren eingeschleust wird. Während seriöse Entwickler von Erweiterungen dazu neigen, den Best Practices im Bereich Cybersicherheit zu folgen, nehmen Hacker in einer sich ständig weiterentwickelnden Cyberbedrohungslandschaft selbst die zuverlässigsten Entwickler ins Visier und dringen gelegentlich sogar in deren Systeme ein. Mit Techniken wie Zero-Day-Exploits können Hacker Cryptojacking-Software in die Software der vertrauenswürdigsten Entwickler einschleusen. Noch einfacher ist es, wenn Hacker ihre eigenen gefälschten Versionen von Erweiterungen erstellen, um Benutzer dazu zu bringen, Malware anstelle einer gut geprüften, nützlichen Erweiterung herunterzuladen. 

• Kompromittiertes JavaScript: In JavaScript geschriebener Code ist anfällig für Cryptojacking. Hacker können eine scheinbar sichere JavaScript-Bibliothek hochladen oder infizieren und so eine Infiltration erreichen, wenn ein ahnungsloses Opfer den kompromittierten Code herunterlädt.    

• Insider-Bedrohungen: Insider-Bedrohungen, wie beispielsweise unzufriedene oder schlecht geschulte Mitarbeiter oder Bedrohungsakteure mit gestohlenen Zugangsdaten, sind ebenfalls häufige Angriffsvektoren für Cryptojacking. 

• Cloudbasierte Angriffe: Vernetzte Cloud Computing-Systeme erhöhen die Zahl der Angriffsvektoren für Cyberkriminelle exponentiell, und Cryptojacking ist da keine Ausnahme. Der jüngste und anhaltende Anstieg von cloudbasierten künstlichen Intelligenz (KI)-Anwendungen, wie beispielsweise großen Sprachmodellen (LLMs), schafft noch mehr Möglichkeiten für Cryptojacking-Angriffe, die nur einen Knoten infiltrieren und sich dann über das gesamte Netzwerk ausbreiten können.

Für Privatpersonen ist es nicht rentabel, Cryptomining-Software im Hintergrund auf Computern laufen zu lassen, die für andere Aufgaben genutzt werden. In großem Maßstab können sich diese kleinen Gewinne jedoch summieren. Cryptojacking kann profitabel sein, wenn erfolgreiche Hacker in der Lage sind, viele einzelne Systeme zu infizieren. Vor allem, weil Cryptohacker keine Kosten für Hardware oder Energie zahlen. 

Da Cryptomining ein so ressourcenintensives Verfahren ist, verwenden legitime Cryptominer im Allgemeinen fast immer dedizierte, erstklassige Hardware für ihre Operationen. Während einige Unternehmens- oder sogar Verbraucherhardware für das Cryptomining geeignet ist, empfehlen Best Practices, nicht weniger als 90 % der Rechenressourcen für Mining-Operationen zu verwenden. 

Die Kosten für die Anschaffung und den Betrieb einer dedizierten Cryptomining-Anlage haben Hobby-Miner dazu veranlasst, auf ihrer Haupt-Hardware zu minen, was jedoch selten zu nennenswerten Erträgen führt. Die Gewinne aus solchen Aktivitäten werden oft nicht nur durch die Kosten für die zusätzliche Energie, die für die intensiven Mining-Berechnungen verbraucht wird, sondern auch durch den Verschleiß der teuren Hardware stark untergraben. 

Für Unternehmen und große Organisationen sind die Kosten von Cryptojacking sogar noch höher, einschließlich Betriebsverlangsamung und potenzieller Datenschutzverletzungen. Zu den wichtigsten Auswirkungen des Cryptojacking für Unternehmen zählen:

Cryptojacking-Angriffe sind so konzipiert, dass sie im Hintergrund ablaufen und so lange wie möglich verborgen und unbekannt bleiben. Daher können Cryptojacking-Codes schwer zu erkennen sein. Es gibt jedoch einige verräterische Anzeichen dafür, dass ein System mit bösartiger Cryptomining-Software infiziert sein könnte:

• Ungeklärter erhöhter Energieverbrauch: Da Cryptomining-Software so viel Energie verbraucht, können plötzliche und unerklärliche Spitzen im Energieverbrauch auf unautorisiertes Cryptomining hinweisen. 

• Überhitzung des Geräts: Cryptomining führt dazu, dass die Hardware heiß läuft. Wenn die Systemhardware überhitzt oder Lüfter und Kühlsysteme einfach stärker beansprucht werden, kann dies ein Symptom für einen Cryptojacking-Angriff sein. 

• Ungeklärte Verlangsamungen: Cryptojacking belastet die Computerressourcen, was zu einem langsameren Gesamtbetrieb führt. Systeme, die Schwierigkeiten haben, normale Rechenaufgaben zu erledigen, sind ein häufiges Anzeichen für Cryptojacking.

• Hohe CPU-Auslastung: Bei der Untersuchung eines möglichen Cryptojacking-Angriffs ist ein Indikator eine überdurchschnittlich hohe CPU-Auslastung bei ansonsten niedrigschwelligen Abläufen. 

Die Abwehr von Cryptojacking erfordert einen ganzheitlichen Ansatz, der glücklicherweise mit vielen anderen führenden Cybersicherheitsstrategien für allgemeine Sicherheitsvorkehrungen übereinstimmt. Im Folgenden sind gängige und wirksame Abwehrmaßnahmen aufgeführt:

• Strenge Mitarbeiterschulungen: Wie so oft bei Cyberbedrohungen sind menschliche Fehler der hartnäckigste und potenziell schädlichste Angriffsvektor. Schulungen und Aufklärung zu Phishing-Angriffen, sicherem Surfen und Dateifreigabe sind eine kritische erste Verteidigungslinie gegen Cryptojacking. 

• EDR- und CDR-Lösungen: Da Cryptojacking ein infiziertes System erfordert, um mit böswilligen Akteuren zu kommunizieren, können gängige Antiviren-Tools, die Software auf bekannte Anzeichen von Cyberkriminalität scannen, wirksam gegen Cryptojacking eingesetzt werden.

• Deaktivieren von JavaScript: Da JavaScript ein so reifer Angriffsvektor für Cryptojacking ist, kann die Deaktivierung von JavaScript eine wirksame Abwehrmaßnahme sein.