- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Krypto-Jacking im Unternehmen


Wie man illegales Mining von Krypto-Währungen im Unternehmen erkennt und verhindert
So erkennt man, dass im Unternehmen unerlaubtes Crypto-Mining stattfindet

- Anzeigen -





Von Egon Kando, Exabeam

Krypto-Währungen haben sich von einem Phänomen hin zu einer nicht nur von Kriminellen gehandelten Ressource entwickelt. Für das Mining wird weltweit bereits die Mehrheit aller Rechenleistung aufgewendet. Und da die Währungen einen monetären Wert bieten, werden sie nicht nur legal durch Crypto-Mining, sondern auch illegal durch Crypto-Jacking errechnet. Unternehmen können sowohl von außen als auch von innen Ziel von illegalem Crypto-Jacking werden. Mit diesen Tipps können Unternehmen erkennen, ob ihre Infrastruktur illegal zum Mining von Krypto-Währungen genutzt wird.

Die Hälfte aller Infrastrukturen weltweit werden für Crypto-Mining genutzt
Krypto-Währungen, wie Bitcoin und Monero, werden durch den Einsatz von Rechenleistung zur Lösung komplexer mathematischer Probleme erzeugt. Wenn ein Problem gelöst ist, wird eine neue Währungseinheit erstellt. Der Prozess wird als Mining bezeichnet und die in den Umlauf gebrachten Einheiten der Krypto-Währungen werden weltweit gehandelt. Eher im Verborgenen bleiben die Hunderttausende auf den Abbau von Krypto-Währungen im großen Umfang spezialisierten Computer und Server. Diese sind an Orten auf der ganzen Welt verteilt, in der Regel dort, wo die Energie entweder kostengünstig oder kostenlos ist, wie etwa in Island.

Ebenfalls im Verborgenen ist die Größe der weltweit bereits für Krypto-Mining eingesetzten Infrastruktur. Tatsächlich stellt das Bitcoin-Mining schon heute die Mehrheit des gesamten weltweiten Netzwerks dar. Für das professionelle Krypto-Mining im großen Stil werden sehr leistungsstarke Rechner mit hohem Strombedarf genutzt, beispielsweise ASIC-Miner. Mit riesigen Rechenzentren, bestückt mit solch hochgezüchteten Mining-Rechnern, lassen sich große Erträge erzielen. Der Hersteller für Bitcoin-Mining-Hardware Bitmain betreibt selbst einen der weltweit größten Mining-Parks und fuhr damit im vergangenen Jahr einen Gewinn zwischen drei und vier Milliarden US-Dollar ein. Das Krypto-Mining kann sich jedoch auch in kleinerem Umfang lohnen. Mit der richtigen Software kann praktisch jeder schon mit einem einzigen Laptop Krypto-Währungen schürfen.

So wird aus Krypto-Mining Krypto-Jacking oder Shadow-Mining
Eine der größten Herausforderungen im Zusammenhang mit dem Crypto-Mining ist die enorme Energiemenge, die es verbraucht. Experten schätzen, dass der aktuelle globale Stromverbrauch für die Server, auf denen Bitcoin-Software läuft, mindestens 2,55 Gigawatt beträgt, was einem Stromverbrauch von 22 Terawattstunden (TWh) pro Jahr entspricht – das entspricht dem jährlichen Stromverbrauch von Irland.

Infolge des massiven Energieverbrauchs von Mining-Rechnern suchen Kriminelle nach Möglichkeiten, Krypto-Währungen abzubauen, ohne selbst die Kosten dafür tragen zu müssen. Und wenn Krypto-Mining illegal und ohne Genehmigung durchgeführt wird, wird es zum Verbrechen, das sogenannte Krypto-Jacking. Krypto-Jacking ist zu einem ernsthaften globalen Problem geworden, das prinzipiell jede Organisation treffen kann. Eine Organisation, die von Krypto-Jacking betroffen ist, bleibt nicht nur auf den Stromkosten sitzen, sondern muss auch für IT-Ausfallzeiten, Hardware-Ausfall und Produktivitätsverluste aufkommen. Dabei kann die Gefahr sowohl von Innen als auch von außen kommen.

Crypto-Jacking ist eine externe Bedrohung, die auftritt, wenn ein Hacker eine Nutzerkontokompromittiert, um heimlich Krypto-Währungen über die IT-Ressourcen einer Organisation zu "minen". Shadow Mining - eine Form der Shadow IT - tritt auf, wenn ein böswilliger Insider die Computerressourcen seiner Organisation gefährdet, um illegal Krypto-Währungen rechnen zu lassen. Innerhalb eines Unternehmens werden generell vier mögliche Gefahrenquellen für Crypto-Jacking unterschieden.

Shadow-Mining
Um erfolgreich zu sein und unentdeckt zu bleiben, ist Shadow Mining darauf angewiesen, dass Sicherheitssysteme bewusst so konfiguriert werden, dass sie fehlerhaft funktionieren. Dies macht ein Unternehmen weniger sicher, führt Software ein, die zusätzliche Ressourcen verbraucht, erhöht die Angriffsfläche und macht betroffene Computer weniger zuverlässig. Man unterscheidet zwischen dem bösartigen und dem rationalisierenden Insider:

Der bösartige Insider - Dies kann jemand sein, der Zugang zu sehr leistungsfähigen Computersystemen hat und sich am Abend anmeldet, um Krypto-Währungen zu schürfen.

Der rationalisierende Insider - Hier lädt ein Einzelner kleine, krypto-unterstützte Software herunter, die er im Leerlauf seines Rechners ausführt. Dieser Miner rationalisiert, dass es in Ordnung ist, seinen Rechner zu benutzen, um Geld zu generieren, wenn er nicht in Gebrauch ist.

Crypto-Jacking
Beim Crypto-Jacking kommt die Gefahr von Aussen. Entweder direkt von einem böswilligen Außenstehenden, oder indirekt über einen von Aussen kompromittierten Insider:

Der kompromittierte Insider - Dies kann auftreten, wenn jemand unwissentlich zum Opfer von Kyberangriffen wie Phishing, Clickbait oder Drive-by wird. Oder ein Mitarbeiter lädt versehentlich kostenlose Software herunter, die unentdeckt Krypto-Mining am Backend durchführt. Auch gibt es Video-Streaming-Websites und File-Sharing-Netzwerke, die Computer von Benutzern aus der Ferne steuern und für Crypto-Mining missbrauchen können.

Der böswillig Außenstehende - Ähnlich wie bei einem DDoS-Angriff, bei dem eine Server- oder Dienstschwachstelle genutzt wird, kann ein Hacker eine gesamte Infrastruktur kapern, um einen Krypto-Mining-Betrieb zu entwickeln. Da nicht viel Datenverkehr erzeugt wird und von Servern in Rechenzentren eine relativ hohe Belastung erwartet wird, können diese Aktionen über einen längeren Zeitraum unbemerkt bleiben.

So erkennt man, dass im Unternehmen unerlaubtes Crypto-Mining stattfindet
Man weiß, dass Krypto-Mining eine enorme Energiemenge verbrauchen kann. Krypto-Jacking anhand des Stromverbrauchs zu erkennen, kann jedoch schwierig sein, weil der Stromverbrauch von vielen Variablen abhängt. Nicht alle Computer verbrauchen die gleiche Menge an Strom, abhängig von der Anzahl der CPUs und davon, ob sie GPUs verwenden. Es hängt auch davon ab, wie oft und intensiv sie genutzt werden. Rechnet man die Kühlkosten hinzu, ist es eine komplizierte Gleichung. Das Beste, was Unternehmen tun können, ist, nach Anomalien in ihren Rechnungen zu suchen, und wenn diese bemerkt werden, nach verdächtigen Aktivitäten zu suchen.

Besser als der Stromverbrauch eignen sich Abweichungen des Nutzungsmusters, da Krypto-Mining signifikant von der normalen Nutzung eines Rechners oder Servers abweicht. Man muss also nach einer plötzlichen Änderung der Kapazität oder Nutzung sowie nach einer anormalen ausführbaren Datei suchen. Oder nach dem plötzlich nächtlichen Auftreten einer seltsamen ausführbaren Datei in einer Umgebung, die normalerweise nur EXCHANGE.EXE oder NTDS.EXE ausführt. Oder einen Rechner, der normalerweise nur tagsüber in Betrieb ist, aber plötzlich rund um die Uhr läuft.

Geheimwaffe gegen Krypto-Jacking: Entity Analytics
In einer Produktionsumgebung gibt es bestimmte Benchmarks, die die IT durchführt, um sicherzustellen, dass der ordnungsgemäße Service aufrechterhalten wird. Abweichungen von diesen Benchmarks können ein Indikator für Missbrauch sein. Die komplette Infrastruktur jedoch manuell nach Abweichungen zu durchforsten ist natürlich zu kompliziert, mühsam und zeitaufwändig, nicht nur bei sehr großen und komplexen Infrastrukturen.

Eine einfachere Möglichkeit, solche unregelmäßigen Verhaltensweisen zu erkennen, besteht darin, das normale Verhalten jedes einzelnen Hosts anhand von laufenden Prozessen, Verbindungen nach Außen und genutzter Kapazität und Auslastung zu modellieren. Moderne Sicherheitslösungen, die die relativ neue Technologie Entity Analytics nutzen, sind hierbei besonders wirksam. Sie können die Erkennung von auffälligen Verhalten von Rechnern automatisieren und Alarm schlagen, wenn ein Server plötzlich von seinem bisherigen Verhalten abweicht.

Fazit
Unternehmen, die sich effektiv vor Krypto-Jacking schützen wollen, müssen verstehen, von wem grundlegend Gefahren ausgehen können. Um Krypto-Jacking effektiv verhindern zu können, hilft die Nutzung moderner Sicherheitslösungen, die Entity Analytics nutzen, um Rechner und Server zu entlarven, die zum illegalen Mining benutzt werden. (Exabeam: ra)

eingetragen: 07.05.19
Newsletterlauf: 29.05.19

Exabeam: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Fachkräfte im Bereich Cybersicherheit

    Laut einer im Herbst letzten Jahres von der (ISC)² veröffentlichten Studie beläuft sich der Mangel an Fachkräften im Bereich Cybersicherheit derzeit auf nahezu 3 Millionen weltweit. Der Befund an sich ist nicht überraschend, allerdings klafft die Schere immer weiter auseinander. Unterbesetzte IT- und IT-Sicherheitsabteilungen auf der einen Seite, und eine sich in Art und Umfang rasant weiter entwickelnde Bedrohungslandschaft auf der anderen. Gut ausgebildete IT-Sicherheitsfach- und Führungskräfte sind Mangelware und selten lange auf Jobsuche. Die Lücke zwischen Angebot und Nachfrage ist beträchtlich. Die Folgen bekommen Unternehmen täglich zu spüren.

  • Security-GAU: Advanced Persistent Threats

    Moderne Hackerangriffe werden immer komplexer und überfordern damit herkömmliche Lösungen für Endpoint- und Netzwerksicherheit. Zwar ist Ransomware die Wahl für Cyberkriminelle die schnellen Bitcoins hinterherjagen, Sicherheitsverantwortliche fürchten heute jedoch viel mehr Advanced Persistent Threats (APTs). Denn diese bleiben im schlimmsten Fall jahrelang unentdeckt und ermöglichen Cyberkriminellen über lange Zeit hinweg umfangreiche Datenmengen zu stehlen und geben ihnen dauerhaft Zugriff auf sensible Dateien wie Produktionspläne, Entwicklungsberichte, Kommunikationsdaten oder Sitzungsprotokolle. Eine ständige Analyse des Datenverkehrs im Netzwerk kann jedoch auch solche Angriffe aufdecken.

  • Mit UEBA die Sicherheit der IT erhöhen

    Das Verhältnis von erfolgreichen und nicht erfolgreichen Cyberangriffen auf Unternehmen schätzen Experten auf 80 zu 20 ein. Und nein, die Zahlen sind keinesfalls verdreht: Experten gehen tatsächlich davon aus, dass viermal so viele Angriffe erfolgreich sind, wie abgewehrt werden. Zwar werden erfolgreiche Cyberbangriffe auf Organisationen jeder Art in den Schlagzeilen tagtäglich publik und man sollte meinen, diese seien die Ausnahme. Tatsächlich stellen diese Angriffe jedoch nur die sichtbare Spitze des Eisbergs dar. Dies gibt zu denken, geben Unternehmen doch jährlich Milliarden für den Schutz ihrer IT aus, deren Abwehrstrategien auf Prävention und reaktionäres Management von Bedrohung basieren. Und es muss die Frage gestellt werden, ob diese eingesetzten Sicherheitsprodukte denn überhaupt noch geeignet sind, vor heutigen Cyberattacken schützen zu können. Denn eines ist sicher: die derzeitigen Cyberbedrohungen entwickeln sich ständig weiter - und die IT-Security muss mit ihnen Schritt halten. Doch wie kann die IT-Security ihren Rückstand aufholen?

  • Die Strategie der Cyberkriminellen

    Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder System-Schwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. Die Social Engineering-Strategie von Cyberkriminellen fußt auf starker zwischenmenschlicher Interaktion und besteht meist darin, das Opfer dazu zu verleiten, Standard-Sicherheitspraktiken zu missachten. Und so hängt der Erfolg von Social-Engineering von der Fähigkeit des Angreifers ab, sein Opfer so weit zu manipulieren, dass es bestimmte Aktionen ausführt oder vertrauliche Informationen preisgibt. Da Social-Engineering-Angriffe immer zahlreicher und raffinierter werden, sollten Organisationen jeder Größe eine intensive Schulung ihrer Mitarbeiter als erste Verteidigungslinie für die Unternehmenssicherheit betrachten.

  • IAM eine der grundlegenden Sicherheitsmaßnahme

    Wenn man die Analogie zum Fußball bemühen will, dann hat der Erfolg einer IT-Sicherheitsabteilung maßgeblich mit einer guten Verteidigung zu tun. Es kommt darauf an, dass die Abwehr geschlossen steht und der Gegner am besten gar nicht erst zum Schuss oder auch nur in eine dafür geeignete Position gelangt. Die beste Voraussetzung für einen Sieg. Ein Bild, dass sich durchaus auf den Datenschutz und das Zusammenwirken unterschiedlicher Sicherheitsebenen übertragen lässt. Im Idealfall hält ein mehrschichtiger Sicherheitsansatz Cyberkriminelle davon ab "ein Tor zu machen" - sprich in ein Netzwerk vorzudringen, an Unternehmensdaten zu gelangen, diese zu entwenden und zu missbrauchen.