- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Krypto-Jacking im Unternehmen


Wie man illegales Mining von Krypto-Währungen im Unternehmen erkennt und verhindert
Die Hälfte aller Infrastrukturen weltweit werden für Crypto-Mining genutzt



Von Egon Kando, Exabeam

Krypto-Währungen haben sich von einem Phänomen hin zu einer nicht nur von Kriminellen gehandelten Ressource entwickelt. Für das Mining wird weltweit bereits die Mehrheit aller Rechenleistung aufgewendet. Und da die Währungen einen monetären Wert bieten, werden sie nicht nur legal durch Crypto-Mining, sondern auch illegal durch Crypto-Jacking errechnet. Unternehmen können sowohl von außen als auch von innen Ziel von illegalem Crypto-Jacking werden. Mit diesen Tipps können Unternehmen erkennen, ob ihre Infrastruktur illegal zum Mining von Krypto-Währungen genutzt wird.

Krypto-Währungen, wie Bitcoin und Monero, werden durch den Einsatz von Rechenleistung zur Lösung komplexer mathematischer Probleme erzeugt. Wenn ein Problem gelöst ist, wird eine neue Währungseinheit erstellt. Der Prozess wird als Mining bezeichnet und die in den Umlauf gebrachten Einheiten der Krypto-Währungen werden weltweit gehandelt. Eher im Verborgenen bleiben die Hunderttausende auf den Abbau von Krypto-Währungen im großen Umfang spezialisierten Computer und Server. Diese sind an Orten auf der ganzen Welt verteilt, in der Regel dort, wo die Energie entweder kostengünstig oder kostenlos ist, wie etwa in Island.

Ebenfalls im Verborgenen ist die Größe der weltweit bereits für Krypto-Mining eingesetzten Infrastruktur. Tatsächlich stellt das Bitcoin-Mining schon heute die Mehrheit des gesamten weltweiten Netzwerks dar. Für das professionelle Krypto-Mining im großen Stil werden sehr leistungsstarke Rechner mit hohem Strombedarf genutzt, beispielsweise ASIC-Miner. Mit riesigen Rechenzentren, bestückt mit solch hochgezüchteten Mining-Rechnern, lassen sich große Erträge erzielen. Der Hersteller für Bitcoin-Mining-Hardware Bitmain betreibt selbst einen der weltweit größten Mining-Parks und fuhr damit im vergangenen Jahr einen Gewinn zwischen drei und vier Milliarden US-Dollar ein. Das Krypto-Mining kann sich jedoch auch in kleinerem Umfang lohnen. Mit der richtigen Software kann praktisch jeder schon mit einem einzigen Laptop Krypto-Währungen schürfen.

So wird aus Krypto-Mining Krypto-Jacking oder Shadow-Mining
Eine der größten Herausforderungen im Zusammenhang mit dem Crypto-Mining ist die enorme Energiemenge, die es verbraucht. Experten schätzen, dass der aktuelle globale Stromverbrauch für die Server, auf denen Bitcoin-Software läuft, mindestens 2,55 Gigawatt beträgt, was einem Stromverbrauch von 22 Terawattstunden (TWh) pro Jahr entspricht – das entspricht dem jährlichen Stromverbrauch von Irland.

Infolge des massiven Energieverbrauchs von Mining-Rechnern suchen Kriminelle nach Möglichkeiten, Krypto-Währungen abzubauen, ohne selbst die Kosten dafür tragen zu müssen. Und wenn Krypto-Mining illegal und ohne Genehmigung durchgeführt wird, wird es zum Verbrechen, das sogenannte Krypto-Jacking. Krypto-Jacking ist zu einem ernsthaften globalen Problem geworden, das prinzipiell jede Organisation treffen kann. Eine Organisation, die von Krypto-Jacking betroffen ist, bleibt nicht nur auf den Stromkosten sitzen, sondern muss auch für IT-Ausfallzeiten, Hardware-Ausfall und Produktivitätsverluste aufkommen. Dabei kann die Gefahr sowohl von Innen als auch von außen kommen.

Crypto-Jacking ist eine externe Bedrohung, die auftritt, wenn ein Hacker eine Nutzerkontokompromittiert, um heimlich Krypto-Währungen über die IT-Ressourcen einer Organisation zu "minen". Shadow Mining - eine Form der Shadow IT - tritt auf, wenn ein böswilliger Insider die Computerressourcen seiner Organisation gefährdet, um illegal Krypto-Währungen rechnen zu lassen. Innerhalb eines Unternehmens werden generell vier mögliche Gefahrenquellen für Crypto-Jacking unterschieden.

Shadow-Mining
Um erfolgreich zu sein und unentdeckt zu bleiben, ist Shadow Mining darauf angewiesen, dass Sicherheitssysteme bewusst so konfiguriert werden, dass sie fehlerhaft funktionieren. Dies macht ein Unternehmen weniger sicher, führt Software ein, die zusätzliche Ressourcen verbraucht, erhöht die Angriffsfläche und macht betroffene Computer weniger zuverlässig. Man unterscheidet zwischen dem bösartigen und dem rationalisierenden Insider:

>> Der bösartige Insider - Dies kann jemand sein, der Zugang zu sehr leistungsfähigen Computersystemen hat und sich am Abend anmeldet, um Krypto-Währungen zu schürfen.

>> Der rationalisierende Insider - Hier lädt ein Einzelner kleine, krypto-unterstützte Software herunter, die er im Leerlauf seines Rechners ausführt. Dieser Miner rationalisiert, dass es in Ordnung ist, seinen Rechner zu benutzen, um Geld zu generieren, wenn er nicht in Gebrauch ist.

Crypto-Jacking
Beim Crypto-Jacking kommt die Gefahr von Aussen. Entweder direkt von einem böswilligen Außenstehenden, oder indirekt über einen von Aussen kompromittierten Insider:

Der kompromittierte Insider - Dies kann auftreten, wenn jemand unwissentlich zum Opfer von Kyberangriffen wie Phishing, Clickbait oder Drive-by wird. Oder ein Mitarbeiter lädt versehentlich kostenlose Software herunter, die unentdeckt Krypto-Mining am Backend durchführt. Auch gibt es Video-Streaming-Websites und File-Sharing-Netzwerke, die Computer von Benutzern aus der Ferne steuern und für Crypto-Mining missbrauchen können.

Der böswillig Außenstehende - Ähnlich wie bei einem DDoS-Angriff, bei dem eine Server- oder Dienstschwachstelle genutzt wird, kann ein Hacker eine gesamte Infrastruktur kapern, um einen Krypto-Mining-Betrieb zu entwickeln. Da nicht viel Datenverkehr erzeugt wird und von Servern in Rechenzentren eine relativ hohe Belastung erwartet wird, können diese Aktionen über einen längeren Zeitraum unbemerkt bleiben.

So erkennt man, dass im Unternehmen unerlaubtes Crypto-Mining stattfindet
Man weiß, dass Krypto-Mining eine enorme Energiemenge verbrauchen kann. Krypto-Jacking anhand des Stromverbrauchs zu erkennen, kann jedoch schwierig sein, weil der Stromverbrauch von vielen Variablen abhängt. Nicht alle Computer verbrauchen die gleiche Menge an Strom, abhängig von der Anzahl der CPUs und davon, ob sie GPUs verwenden. Es hängt auch davon ab, wie oft und intensiv sie genutzt werden. Rechnet man die Kühlkosten hinzu, ist es eine komplizierte Gleichung. Das Beste, was Unternehmen tun können, ist, nach Anomalien in ihren Rechnungen zu suchen, und wenn diese bemerkt werden, nach verdächtigen Aktivitäten zu suchen.

Besser als der Stromverbrauch eignen sich Abweichungen des Nutzungsmusters, da Krypto-Mining signifikant von der normalen Nutzung eines Rechners oder Servers abweicht. Man muss also nach einer plötzlichen Änderung der Kapazität oder Nutzung sowie nach einer anormalen ausführbaren Datei suchen. Oder nach dem plötzlich nächtlichen Auftreten einer seltsamen ausführbaren Datei in einer Umgebung, die normalerweise nur EXCHANGE.EXE oder NTDS.EXE ausführt. Oder einen Rechner, der normalerweise nur tagsüber in Betrieb ist, aber plötzlich rund um die Uhr läuft.

Geheimwaffe gegen Krypto-Jacking: Entity Analytics
In einer Produktionsumgebung gibt es bestimmte Benchmarks, die die IT durchführt, um sicherzustellen, dass der ordnungsgemäße Service aufrechterhalten wird. Abweichungen von diesen Benchmarks können ein Indikator für Missbrauch sein. Die komplette Infrastruktur jedoch manuell nach Abweichungen zu durchforsten ist natürlich zu kompliziert, mühsam und zeitaufwändig, nicht nur bei sehr großen und komplexen Infrastrukturen.

Eine einfachere Möglichkeit, solche unregelmäßigen Verhaltensweisen zu erkennen, besteht darin, das normale Verhalten jedes einzelnen Hosts anhand von laufenden Prozessen, Verbindungen nach Außen und genutzter Kapazität und Auslastung zu modellieren. Moderne Sicherheitslösungen, die die relativ neue Technologie Entity Analytics nutzen, sind hierbei besonders wirksam. Sie können die Erkennung von auffälligen Verhalten von Rechnern automatisieren und Alarm schlagen, wenn ein Server plötzlich von seinem bisherigen Verhalten abweicht.

Fazit
Unternehmen, die sich effektiv vor Krypto-Jacking schützen wollen, müssen verstehen, von wem grundlegend Gefahren ausgehen können. Um Krypto-Jacking effektiv verhindern zu können, hilft die Nutzung moderner Sicherheitslösungen, die Entity Analytics nutzen, um Rechner und Server zu entlarven, die zum illegalen Mining benutzt werden.
(Exabeam: ra)

eingetragen: 06.05.19
Newsletterlauf: 17.05.19

Exabeam: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.

In drei Schritten zu sicheren Zugangsdaten IT-Sicherheitsvorfall: Kommunikation sehr wichtig