NTT Security: Krypto-Jacking droht besonders im Bildungswesen

René Bader_NTT Security

NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group, macht IT-Anwender auf ein neues Phänomen aufmerksam: dem webbasierten Mining von Krypto-Währun­gen ohne Zustimmung des System-Eigners, was nichts anderes als der Diebstahl von Systemressourcen ist. Diese Art der Cyber-Kriminalität ist vor allem im Bildungssektor anzutreffen.

NTT Security hat die Ergebnisse seines monatlichen GTIC Threat Report bekannt gegeben. Die Experten von NTT Security haben in ihrer Studie besonders Krypto-Mining und Krypto-Jacking untersucht.

Bei webbasiertem Krypto-Mining wird ein Code in eine Website eingefügt, der die Teilnahme am Mining einer Krypto-Währung ermöglicht. Es ist oft schwierig, wenn nicht unmöglich, den Unterschied zu erkennen zwischen normalem webbasiertem Krypto-Mining – bei dem der Benutzer einer Website erlaubt, Systemressourcen für das Mining einer Krypto-Währung zu verwenden – und webbasiertem Krypto-Jacking – bei dem der Benutzer der Website dafür keine Erlaubnis erteilt hat.

Bei fast 40 Prozent der analysierten browserbasierten Miner von Krypto-Währungen handelte es sich um nicht näher bestimmtes browserbasiertes Mining, das nicht mit einer bestimmten Mining-Plattform für Krypto-Währungen verbunden ist. Die drei am häufigsten identifizierten Miner für Krypto-Währun­gen waren CoinHive, XMRig und Authedmine.

  • CoinHive – Den Daten von NTT Security zufolge machen CoinHive und seine Variationen etwa 55 Prozent der vom 1. Mai bis 31. Juli 2018 beobachteten Krypto-Miner aus. CoinHive ist ein browserbasierter Mining-Service, der typischerweise zum Minen der Krypto-Währung Monero verwendet wird. Monero hat in diesem Jahr an Popularität gewonnen, da es praktisch nicht zurückverfolgbare Transaktionen erlaubt, die es Benutzern – und damit auch Angreifern – ermöglichen, ein hohes Maß an Anonymität zu wahren.

CoinHive schürft Monero durch die Verwendung ungenutzter Rechenleistung von Benutzersystemen, die mit der infizierten Site verbunden sind. Die Intention von Coinhive bestand darin, Website-Be­sitzern zu helfen, Einnahmen durch Mining zu generieren, allerdings werden Elemente von CoinHive als „go-to“ Miner für cyberkriminelle Aktivitäten missbraucht.

  • XMRig – die Daten von NTT Security zeigen, dass XMRig etwa fünf Prozent der beobachteten Aktivitäten von Krypto-Minern ausmacht. XMRig ist eine Open-Source-Software, mit der Monero und CryptoNote geschürft werden können. XMRig unterstützt das Mining von Krypto-Währungen durch die Nutzung der Leistung von System-CPUs, NVIDIA-Grafikkarten und AMD-GPUs. Diese Funktionen machen XMRig beliebt, da Benutzer – sowohl legitime Benutzer als auch Cyber-Kriminelle – es auf jeder Hardware, einschließlich Systemen unter Windows, installieren und dann problemlos mit dem Mining beginnen können.
  • Authedmine – Authedmine (alias „Authorized Mining“) kann definiert werden als CoinHive 2.0 oder CoinHive mit explizitem Opt-in. Aufgrund des schlechten Rufs von CoinHive in Folge der Aktivitäten von Cyber-Kriminellen reagierten die Entwickler mit der Erstellung eines Miners, der nur nach einem ausdrücklichen Opt-in des Benutzers ausgeführt werden kann. Daten zeigen, dass etwa zwei Prozent der beobachteten Krypto-Mining-Aktivität mit Authedmine in Verbindung zu bringen sind.

Dabei ist zu beachten, dass Authedmine Events zwar von Benutzern zu stammen scheinen, die auch verstehen, was sie anklicken. Es ist jedoch sehr wahrscheinlich, dass eine große Zahl von Benutzern das Opt-in akzeptiert, ohne vollständig zu verstehen, welche Prozesse sie dabei erlauben.

Grundsätzlich sind von nicht autorisiertem Krypto-Mining und Krypto-Jacking fast alle Branchen betroffen. Die Daten zeigen aber, dass die Sektoren Bildung, Gesundheitswesen und Finanzen rund 88 Prozent aller identifizierten Fälle von Krypto-Jacking ausmachten.

Mit 57 Prozent ist Bildung der am stärksten betroffene Bereich. Hier erhalten Studenten, Mitarbeiter oder Besucher des Campus oft Zugang zum Netzwerk, so dass es schwierig ist, jedes potenzielle webbasierte Krypto-Jacking-Ereignis zu blockieren. Während Bildungseinrichtungen ihre Personal- und Fakultätsnetze regulieren können und wollen, befinden sich die Studentennetzwerke oft in einem ganz anderen Subnetz und unterliegen eigenen Richtlinien und Nutzungsbedingungen.

„Ein Unternehmen, das einen Krypto-Miner auf ihrer eigenen Website entdeckt, hat ein größeres Problem als nur die betreffende Malware“, erklärt René Bader, Lead Consultant Secure Business Applications EMEA bei NTT Security. „Es stellt sich nämlich die Frage, wie der Krypto-Miner überhaupt dorthin gelangen konnte. Daher muss immer auch die Sicherheitsarchitektur des betroffenen Unternehmens überprüft werden.“