Cryptojacking erkennen und bekämpfen

Beim Cryptojacking infizieren Cyberkriminelle Computer und Mobilgeräte mit Malware, um deren Rechnerleistung für die Generierung von Kryptowährungen zu nutzen. Erkennen lässt sich eine Infektion an einer unerklärlich hohen CPU-Auslastung. Verschiedene Methoden helfen beim Erkennen, Aufhalten und Vorbeugen von Cryptojacking.

Cryptojacking, zusammengesetzt aus „Crypto Currency“ (dt. Kryptowährung) und „Highjacking“ (dt. entführen) stellt eine hybride Malware dar, die sowohl klassisch in Form von Trojanern als auch durch Skripte übertragen wird. Cryptojacker haben Ransomware und Viren als eine der größten Online-Bedrohungen weltweit abgelöst. Infiltrierte Systeme werden so von Kriminellen unerkannt für das Cryptomining von Kryptowährungen gekapert. Die Folge ist eine extrem hohe CPU-Auslastung und ein hoher Energieverbrauch. Im Unterschied zu anderer Malware sind Cryptojacker vorrangig am Kapern von Rechenkapazitäten interessiert, während das Ausspähen sensibler Nutzer- oder Systemdaten keine Rolle spielt.

Der Grund für Cryptojacking ist direkt verknüpft mit dem Prozess des Cryptomining. Beim Cryptomining stellen Miner ihre eigenen oder mit anderen Minern zu Mining Pools kombinierte Rechenkapazitäten zur Verfügung, um Transaktionen mit Kryptowährungen zu legitimieren, zu verifizieren und in der Blockchain zu dokumentieren. Um die Legalität von Transaktionen sicherzustellen, sind Transaktionen mit der bekanntesten Kryptowährung Bitcoin öffentlich und transparent verzeichnet. Es gibt jedoch auch anonymisierte Altcoins wie Monero und Ethereum, die Kriminellen genug Anonymität für illegale Transaktionen über gekaperte Systeme bieten.

Da Cryptomining immer ressourcenintensiver und zeitaufwändiger wird, hängt profitables Mining zunehmend von hoher Rechenkapazität und teurem Stromverbrauch ab. Illegales Mining in Form von Cryptojacking zielt darauf ab, fremde Rechenkapazitäten zu nutzen, um ohne eigene Betriebskosten Profite zu erzielen. Hierzu werden betroffene Systeme oft zu Mining-Botnetzen hinzugefügt, die als illegale Mining Pools fungieren und Rechnerleistung bündeln.

Ungewollt und unbewusst Teil eines groß angelegten Cryptojacking-Netzwerks zu werden, geht schneller als Sie denken. Verleitet durch Scareware klicken Sie beispielsweise auf einen Link, der auf eine infizierte Website führt oder laden eine Drittanbieter-App aus unseriöser Quelle herunter und schon sind Sie betroffen. Während Sie abgesehen von einem langsameren System nichts merken, nutzt der Trojaner die Rechenkapazitäten Ihres PCs oder Mobilgeräts im Stillen.

Doch nicht nur Privatnutzer sind das Ziel von Cryptojackern: Berühmte Cryptojacking-Fälle gab es zum Beispiel im Fall von Tesla Motors, wo Mitarbeiter ungeschützte Anwendungen, die mit Cryptojacking-Skripten infiziert waren, nutzten. Ein weiterer bekannter Fall war das bereitgestellte Wi-Fi von Starbucks-Filialen in Buenos Aires, über das die Rechnerleistung verbundener Laptops und Mobilgeräte gekapert wurde. Weitere Beispiele sind die Website von Christiano Ronaldo und vom San Diego Zoo, die mit dem Mining-Programm Coinhive unwissentlich die Rechnerkapazitäten der Seitenbesucher für Mining nutzten.

Je nachdem, wie fremde Rechner oder Mobilgeräte für Cryptojacking genutzt werden, unterscheidet man zwischen folgenden Kategorien der gefährlichen Malware:

• Cryptojacking durch Trojaner/Adware: Systeme, die sich durch infizierte Webseiten, Dateien, Drive-by-Downloads oder auf andere Weise mit einem Cryptojacking-Trojaner infizieren, werden dazu genutzt, CPU oder GPU fürs Mining zur Verfügung zu stellen. Da sie Antiviren-Programme und den Taskmanager umgehen, bleiben sie typischerweise lange unentdeckt.
• Cryptojacking durch JavaScript/Browser: Hier wird Mining-Code in Skripten z.B. in Form von Codeschnipseln des Coinhive-Programms in Websites versteckt und vom Browser ausgeführt. Besucher der Website stellen unbewusst Ihre Rechnerleistung fürs Mining zur Verfügung, unter Umständen sogar, nachdem Sie die Seite verlassen haben, z.B. durch versteckte Popups oder Tabs. Da Streaming-Portale ihre Nutzer lange auf einer Seite halten, sind auch diese durch Mining-Codes in Video-Playern oder getarnte Cryptojacking-Ads betroffen.

Es mutet ironisch an, wenn der Hersteller des für Cryptojacking häufig genutzten Coinhive-JavaScript-Codes beteuert, dass Coinhive lediglich eine Alternative zu klassischen Werbebannern sein soll. Tatsächlich ist die Idee hinter einem Code wie Coinhive nicht automatisch illegal. Vorausgesetzt, sie wird nicht missbraucht. Grundsätzlich kann ein in Webseiten integrierter Code, über den Besucher sich zum Mining bewusst bereit erklären, eine sichere Alternative zu Werbeanzeigen sein, die auf schadhafte Scam- oder Phishing-Seiten führen oder sensible Nutzerdaten stehlen.

Voraussetzung dafür ist, dass Seitenbesucher wie bei Cookie-Abfragen zustimmen, für den Website-Besuch einen Teil Ihrer Rechenleistung anzubieten. Auf diese Weise könnten sich Website-Betreiber auch ohne hohe Dichte an unkontrollierter Werbung finanzieren. Umsetzen ließe sich dies jedoch nur durch unabhängige Standards und Transparenz von Cryptomining-Codes in Webprojekten. Ein erfolgreiches Beispiel für den legalen Einsatz von Coinhive war eine Spendeninitiative von UNICEF Australien, bei der Spenden durch einen Website-Besuch generiert wurden.

Wer sich fragt, ob das eigene Gerät von Cryptomining-Malware betroffen ist, sollte auf eines der häufigen Anzeichen achten, an denen sich Schadsoftware erkennen lässt: Eine unerklärlich hohe CPU- oder GPU-Auslastung. Da Cryptojacker vorrangig an der Rechenleistung interessiert sind, lassen sich die Auswirkungen der Malware nur schwer verbergen. Um hohe Profite durch Cryptojacking zu erzielen, muss auch eine entsprechend hohe Auslastung erfolgen. Diese kann mitunter bis zu 90 oder 100 Prozent reichen.

Auch ein auffällig lauter Betrieb der Computerlüftung oder ein stark erhitztes Gerät deutet auf Prozesse im Hintergrund hin. Haben Sie also keine rechenintensiven Aufgaben geöffnet und stellen trotzdem fest, dass Ihr Gerät überhitzt oder fast vollständig ausgelastet ist, deutet das auf einen möglichen Befall mit Cryptojacking-Malware hin. Im schlimmsten Fall kann unerkanntes Cryptojacking die Lebenszeit Ihrer Geräte durch permanente Auslastung verkürzen und zu hohen Stromrechnungen führen.

Betroffene, deren System von Cryptojacking-Trojanern infiziert wurde, gehen in der Regel wie in anderen Fällen von Malware-Befall vor:

Scannen Sie Ihr Gerät mit zuverlässiger Anti-Malware-Software, um zu prüfen, ob das Schadprogramm aufzuspüren ist und beseitigen die Malware im Anschluss. Da Cryptojacking-Trojaner allerdings dazu in der Lage sein können, Anti-Viren-Software zu deaktivieren und den Task-Manager auszutricksen, indem Sie inaktiv werden oder sich in den Registry-Systemdateien verstecken, führt diese Methode nicht immer zum Erfolg.

Sollten Anti-Malware-Programme keinen Fund machen, wenden Sie sich im nächsten Schritt an professionelle IT-Sicherheitsexperten. Auf Nummer sicher gehen Sie auch, indem Sie Ihr Gerät komplett neu aufsetzen – z.B. mithilfe der Windows-Wiederherstellung.

Infektionen mit Cryptojacking-Trojanern beugen Sie vor, indem Sie Ihr System durch Updates immer auf dem neuesten Stand halten, ein zuverlässiges, stets aktualisiertes Antiviren-Programm nutzen und auffälliges Verhalten Ihres Systems, z.B. Erhitzen, laute Lüftung und langsames Rechenleistung, nicht ignorieren.

Da Cryptojacking nicht immer Ihr System befällt, sondern auch Rechenkapazitäten über Java-Skripte, Werbeanzeigen oder Streams kapert, lässt sich das illegale Mining durch blockierte Java-Skripte oder Mining-Filterlisten verhindern. Java-Skripte lassen sich inzwischen in jedem Browser deaktivieren. Das kann jedoch dazu führen, dass viele Funktionen von Websites nicht mehr ausführbar sind. Browser-Erweiterungen wie „No Coin“ oder „MinerBlock“ versuchen darüber hinaus Mining-Aktivitäten im Browser direkt zu unterbinden.

Noch sicherer ist es, ganzheitliche Sicherheitslösungen wie MyDefender von IONOS oder Malwarebytes zu nutzen, die sowohl „klassische“ Malware als auch Mining-Malware erkennen und präventiv bekämpfen.

Da Cryptojacking auch zu Schäden an Hardware und somit zu unwiederbringlichen Datenverlusten führen kann, sollten Sie außerdem für regelmäßige externe Datenbackups sorgen. Die im vorigen Abschnitt erwähnte Lösung MyDefender von IONOS weiß auch hier zu überzeugen: Automatische Backups in ISO-zertifizierten deutschen Rechenzentren sorgen für doppelten Schutz und mehrfach gesicherte Daten. Sie haben dabei die Möglichkeit, nur ausgewählte Daten zu sichern oder komplette Backups anzulegen.

Malware lässt sich grob in folgende drei Kategorien einteilen:

• Viren: Bösartige Programmcodes, die sich selbst vervielfachen und Systeme manipulieren, beschädigen und Malware nachladen
• Würmer: Eine Unterklasse der Viren, die ebenfalls Systeme manipuliert, beschädigt, Türen für weitere Schadsoftware öffnet, Rechnerkapazität überlastet und sich im Gegensatz zu Viren ohne Zutun von Nutzern etwa durch E-Mails und Spam in Netzwerken ausbreitet; ein bekanntes Beispiel: Emotet
• Trojaner: Bösartige Programmcodes, die sich nicht selbst reproduzieren und verschiedenste schadhafte Funktionen in einem System ausüben

Wie Cryptojacking zeigt, können die Grenzen zwischen Schadprogrammen fließend sein. So dienen zum Beispiel Computerwürmer oft dazu, die Tür für bösartige Trojaner und Rootkits zu öffnen. Zu den häufigsten Funktionen von Malware zählen:

• Spionage und Phishing sensibler Nutzer- und Zugangsdaten
• Verbreitung oder Herunterladen weiterer Malware z.B. als Teil eines Botnets
• Infiltration zur Ausführung von Cyberangriffen
• „Highjacking“ von Systemen zum Ausführen gezielter Aufgaben
• Überlastung von Rechnern und Systemen durch DDoS- und DoS-Angriffe
• Verschlüsselung von Daten zum Zweck der Erpressung wie im Fall von Ransomware