NTT Security warnt vor Missbrauch von IT-Systemressourcen durch Cyber-Kriminelle

[datensicherheit.de, 16.12.2018] Das Unternehmen NTT Security (Germany) und das „Security Center of Excellence“ der NTT Group machen IT-Anwender auf ein neues Phänomen der Cyber-Kriminalität aufmerksam: Webbasiertes Mining von Krypto-Währungen ohne Zustimmung des System-Eigners, was nichts Anderes als Diebstahl von Systemressourcen ist. Diese Art der Cyber-Kriminalität sei vor allem im Bildungssektor anzutreffen.

Missbrauch schwer zu erkennen

NTT Security hat nach eigenen Angaben die Ergebnisse seines monatlichen „GTIC Threat Report“ bekanntgegeben. Die hauseigenen Experten haben demnach in ihrer Studie besonders Krypto-Mining und -Jacking untersucht.
Bei webbasiertem Krypto-Mining werde ein Code in eine Website eingefügt, um die Teilnahme am Mining einer Krypto-Währung zu ermöglichen. Es sei oft schwierig, wenn nicht unmöglich, den Unterschied zwischen normalem webbasiertem Krypto-Mining – bei dem der Benutzer einer Website erlaubt, Systemressourcen für das Mining einer Krypto-Währung zu verwenden – und webbasiertem Krypto-Jacking – bei dem der Benutzer der Website dafür keine Erlaubnis erteilt hat – zu erkennen.

Krypto-Währung „Monero“ bei Anwendern und Kriminellen beliebt

Bei fast 40 Prozent der analysierten browserbasierten Miner von Krypto-Währungen habe es sich um nicht näher bestimmtes browserbasiertes Mining gehandelt, das nicht mit einer bestimmten Mining-Plattform für Krypto-Währungen verbunden sei. Die drei am häufigsten identifizierten Miner für Krypto-Währungen seien „CoinHive“, „XMRig“ und „Authedmine“.
Den Erkenntnissen von NTT Security zufolge machten „CoinHive“ und seine Variationen etwa 55 Prozent der vom 1. Mai bis 31. Juli 2018 beobachteten Krypto-Miner aus. „CoinHive“ sei ein browserbasierter Mining-Service, der typischerweise zum Minen der Krypto-Währung „Monero“ verwendet werde. Diese habe in diesem Jahr an Popularität gewonnen, da sie praktisch nicht zurückverfolgbare Transaktionen erlaube, die es Benutzern – und damit auch Angreifern – ermögliche, ein hohes Maß an Anonymität zu wahren.
„CoinHive“ schürft demnach „Monero“ durch die Verwendung ungenutzter Rechenleistung von Benutzersystemen, die mit der infizierten Site verbunden sind. Die Intention von „Coinhive“ habe darin bestanden, Website-Besitzern zu helfen, Einnahmen durch Mining zu generieren; allerdings würden Elemente von „CoinHive“ als „go-to Miner“ für cyber-kriminelle Aktivitäten missbraucht.

„XMRig“ unterstützt Mining durch Nutzung von System-CPUs, NVIDIA-Grafikkarten und AMD-GPUs

Laut NTT Security mache „XMRig“ etwa fünf Prozent der beobachteten Aktivitäten von Krypto-Minern aus. „XMRig“ sei eine Open-Source-Software, mit der „Monero“ und „CryptoNote“ geschürft werden könnten. „XMRig“ unterstütze das Mining von Krypto-Währungen durch die Nutzung der Leistung von System-CPUs, NVIDIA-Grafikkarten und AMD-GPUs.
Diese Funktionen machten „XMRig“ beliebt, da Benutzer – sowohl legitime Benutzer als auch Cyber-Kriminelle – es auf jeder Hardware, einschließlich Systemen unter „Windows“, installieren und dann problemlos mit dem Mining beginnen könnten.

Zustimmung bei unzureichendem Prozessverständnis

„Authedmine“ (alias „Authorized Mining“) könne definiert werden als „CoinHive 2.0“ oder „CoinHive“ mit explizitem Opt-in: Aufgrund des schlechten Rufs von „CoinHive“ in Folge der Aktivitäten von Cyber-Kriminellen hätten die Entwickler mit der Erstellung eines Miners reagiert, der nur nach einem ausdrücklichen Opt-in des Benutzers ausgeführt werden könne. Daten zeigten, dass etwa zwei Prozent der beobachteten Krypto-Mining-Aktivität mit „Authedmine“ in Verbindung zu bringen seien.
Dabei sei zu beachten, dass „Authedmine Events“ zwar von Benutzern zu stammen schienen, die auch verstehen, was sie anklicken. Es sei jedoch sehr wahrscheinlich, dass eine große Zahl von Benutzern das Opt-in akzeptiert, ohne vollständig zu verstehen, welche Prozesse sie dabei erlauben.

Foto: NTT Security

René Bader: Immer auch die Sicherheitsarchitektur des betroffenen Unternehmens überprüfen!

Krypto-Jacking betrifft fast alle Branchen

Grundsätzlich seien von nicht autorisiertem Krypto-Mining und Krypto-Jacking fast alle Branchen betroffen. Die Daten zeigten aber, dass die Sektoren Bildung, Gesundheitswesen und Finanzen rund 88 Prozent aller identifizierten Fälle von Krypto-Jacking ausmachten:
Mit 57 Prozent sei Bildung der am stärksten betroffene Bereich. Hierbei erhielten Studenten, Mitarbeiter oder Besucher des Campus oft Zugang zum Netzwerk, so dass es schwierig sei, jedes potenzielle webbasierte Krypto-Jacking-Ereignis zu blockieren. Während Bildungseinrichtungen ihre Personal- und Fakultätsnetze regulieren könnten und wollten, befänden sich die Studentennetzwerke oft in einem ganz anderen Subnetz und unterlägen eigenen Richtlinien und Nutzungsbedingungen.
„Ein Unternehmen, das einen Krypto-Miner auf ihrer eigenen Website entdeckt, hat ein größeres Problem als nur die betreffende Malware“, warnt René Bader, „Lead Consultant Secure Business Applications EMEA“ bei NTT Security. Es stelle sich nämlich die Frage, wie der Krypto-Miner überhaupt dorthin gelangen konnte. „Daher muss immer auch die Sicherheitsarchitektur des betroffenen Unternehmens überprüft werden“, empfiehlt Bader.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2018
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen

datensicherheit.de, 27.06.2018
Cyber-Kriminelle nutzen Hype um Kryptowährungen

[datensicherheit.de, 07.04.2018] Auch Cyber-Kriminelle wollen nach Erkenntnissen von KASPERSKY lab vom derzeitigen Kryptowährungshype profitieren und setzen demnach verstärkt auf schädliche Software, die auf Kosten der Nutzer heimlich „Bitcoins“, „Monero“ usw. schürft. So seien 2017 im Vergleich zum Vorjahr die weltweite Angriffsrate schädlicher Miner-Programme um 44 Prozent angestiegen. Ähnlich dem Ransomware-Boom würden die Methoden der Krypto-Schürfer immer ausgereifter – auch würden hierfür vermehrt mobile Geräte mittels kreativer Methoden missbraucht. Der neueste Trend sei, dass Cyber-Kriminelle Risk-Tools einsetzten – auch über den „Google Play Store“ –, welche Miningkapazitäten in beliebten Fußball- und VPN-Anwendungen versteckten, um von Hunderttausenden ahnungslosen Opfern und deren Rechner-Ressourcen zu profitieren.

Fußballfreunde in Brasilien im Visier

Die häufigsten Miner befänden sich in Anwendungen zur Übertragung von Fußballvideos, die parallel und heimlich Kryptowährungen schürften. Hierfür verwendeten die Entwickler das Miner-Programm „Coinhive JavaScript“:
Startet ein Nutzer die Fußball-Übertragung, öffne die Anwendung eine HTML-Datei mit dem eingebetteten „JavaScript“-Miner-Programm, welches die CPU-Leistung des Anwenders zum Schürfen der Kryptowährung „Monero“ missbrauche.
Die Anwendungen würden über den „Google Play Store“ verbreitet. Die beliebteste sei rund 100.000-mal heruntergeladen worden. 90 Prozent dieser Downloads stammten aktuell aus Brasilien.

Missbrauch legitimer VPN-Anwendungen

Ein weiteres Ziel für schädliche Miner seien legitime VPN-Anwendungen. Über ein VPN (Virtual Private Network) könnten Nutzer beispielsweise auf Webressourcen zugreifen, die aufgrund lokaler Beschränkungen nicht verfügbar sind. KASPERKY lab hat nach eigenen Angaben den Miner „Vilny.net“ entdeckt, welcher den Batterieladungsstatus sowie die Temperatur des Geräts überwachen könne.
So seien die Akteure in der Lage, kriminelle Aktionen durchzuführen, ohne das angegriffene Gerät einem zu großen Risiko auszusetzen – dazu lade die App eine ausführbare Datei vom Server herunter und starte diese im Hintergrund.
„Vilny.net“ sei über 50.000-mal heruntergeladen worden – hauptsächlich von Nutzern in der Ukraine und Russland.

Anwender doppelt ausgenutzt

„Unsere Ergebnisse zeigen, dass die Autoren bösartiger Miner-Programme ihre Ressourcen ausbauen und ihre Taktiken und Ansätze weiterentwickeln, um das Schürfen von Kryptowährungen effektiver durchzuführen“, berichtet Roman Unuchek, „Security Researcher“ bei KASPERSKY lab.
„Sie verwenden mittlerweile legitime Anwendungen mit thematischem Bezug und Miningkapazitäten, um Profit zu machen. So können sie Anwender doppelt ausnutzen – zum einen über eine Werbeanzeige und zum anderen über diskretes Krypto-Mining“, so Unuchek.
Dass Cyber-Kriminelle beim Kryptowährungsbetrug auf aktuelle Themen setzten, zeigten auch die vermehrt auftretenden Spam- und Phishing-Nachrichten mit Kryptowährungsbezug. Es sei davon auszugehen, dass Nutzer auch in naher Zukunft vermehrt dem Krypto-Phishing ausgesetzt sein würden.

Sicherheitstipps von KASPERSKY lab:

Nutzer sollten die folgenden Maßnahmen ergreifen, um ihre Geräte und privaten Daten vor möglichem Mining und Cyber-Attacken zu schützen:

• Anwendungen nicht aus anderen Quellen als den offiziellen App-Stores installieren.
• Die Betriebssystemversion des Geräts auf dem neuesten Stand halten, um Sicherheitslücken in der Software zu verringern und das Risiko eines Angriffs zu verringern.
• Eine bewährte Sicherheitslösung (wie z.B. „Kaspersky Internet Security“) installieren, um das Gerät vor Cyber-Angriffen zu schützen.

Weitere Informationen zum Thema:

SECURELIST, 04.04.2018
Pocket cryptofarms / Investigating mobile apps for hidden mining

KASPERSKY lab, 05.03.2018
Hacker schürften 2017 Millionenwerte mit Malware zum Krypto-Mining / Kaspersky-Studie zeigt: Miner sind die neue Ransomware