Was ist Cryptojacking?

14. Januar 2025

Cryptojacking ist eine Cyberbedrohung, bei der es um unbefugtes Mining von Kryptowรคhrungen auf Kosten ahnungsloser Einzelpersonen oder Organisationen geht. Cryptojacking-Aktivitรคten kรถnnen รผber lรคngere Zeitrรคume unentdeckt bleiben, wodurch Angreifer weiterhin Zugriff auf Hardware ohne dass dabei Kosten entstehen.

Was ist Kryptojacking?

Was ist Cryptojacking?

Cryptojacking bezeichnet die unbefugte Nutzung von Rechenressourcen zum Mining digitaler Wรคhrungen wie Monero, Ethereum oder anderer datenschutzorientierter Coins. Angreifer integrieren bรถsartige Skripte or Malware in Webseiten, Anwendungen oder Dateien, Entfรผhrung von Opfern CPU or GPU Macht, kryptografische Rรคtsel zu lรถsen und digitale Mรผnzen zu verdienen. LeistungseinbuรŸen, erhรถhter Energieverbrauch und รœberhitzung des Systems sind hรคufige Folgen.

Cryptojacking ist fรผr Cyberkriminelle eine attraktive Taktik, da herkรถmmliches Kryptowรคhrungs-Mining erhebliche Infrastrukturkosten verursacht, von spezieller Hardware (ASICs oder GPUs) bis hin zum Stromverbrauch. Indem Cryptojacker ahnungslose Hosts ausnutzen, umgehen sie diese Kosten vollstรคndig und wรคlzen sowohl die Gerรคte- als auch die Stromrechnung auf das Opfer ab.

Ist Kryptojacking illegal?

Cryptojacking ist in den meisten Rechtsgebieten illegal, da es auf der nicht einvernehmlichen Ausbeutung von Computerressourcen beruht. Gesetzgeber vergleichen Cryptojacking mit der Bereitstellung von Malware, unbefugtem Systemzugriff oder Computerbetrug. Cyber-Kriminelle Wer an Kryptojacking teilnimmt, kann nach Gesetzen wegen unrechtmรครŸigem Zugriff, unberechtigter ร„nderung von Daten und Diebstahl von Computerdiensten strafrechtlich verfolgt werden. Die Strafen variieren je nach regionalen Bestimmungen, aber Tรคter mรผssen oft mit hohen Geldstrafen, Vermรถgensbeschlagnahme oder Gefรคngnisstrafen rechnen.

Strafverfolgungsbehรถrden verfolgen Cryptojacking-Kampagnen durch die Zusammenarbeit mit Anbietern von Cybersicherheit. Technische Beweise โ€“ wie digitale Signaturen von Cryptomining-Malware, Domรคnenregistrierungen fรผr Mining-Pools oder Daten aus kompromittierten Infrastrukturen โ€“ helfen den Behรถrden dabei, die Einzelpersonen oder Gruppen zu identifizieren, die groรŸ angelegte Angriffe orchestrieren.

Da Kryptowรคhrungen global verbreitet sind, gestaltet sich die Strafverfolgung und Zuordnung schwierig. Dennoch verfeinern internationale Task Forces zur Cyberkriminalitรคt ihre Ansรคtze zur Bekรคmpfung von Cryptojacking-Vorfรคllen stรคndig.

Wie funktioniert Kryptojacking?

Dies sind die gรคngigen Methoden, die Cyberkriminelle zum Kryptojacking verwenden:

  • Malware-Infektionen. Angreifer bรผndeln Kryptomining-Payloads oft mit Trojan Dropper, bรถsartige ausfรผhrbare Dateien oder gefรคlschte Software-Updates. Opfer starten diese Pakete unabsichtlich und lรถsen damit Kryptomining im Hintergrund aus. Bestimmte Varianten bleiben bestehen, indem sie Systemregister รคndern, Startskripte einfรผgen oder Sicherheitsprozesse deaktivieren, um ein unterbrechungsfreies Mining zu gewรคhrleisten.
  • Browserbasierte Skripte. Web-Browser-basiertes Cryptojacking basiert auf bรถsartigen JavaScript Snippets, die auf kompromittierten Websites oder durch bรถsartige Werbung (Malvertising) eingebettet sind. Der Code beginnt sofort mit dem Mining, sobald der Browser des Benutzers die Webseite lรคdt, und verbraucht CPU-Ressourcen, bis der Benutzer wegnavigiert oder den Tab schlieรŸt. Hartnรคckige Varianten kรถnnen Pop-under-Fenster erzeugen, die auch nach dem SchlieรŸen des primรคren Tabs weiter geรถffnet bleiben.
  • Drive-by-Downloads. Bei Drive-by-Downloads werden ungeplante Downloads erzwungen, wenn Benutzer infizierte Websites besuchen oder auf irrefรผhrende Popups klicken. Angreifer nutzen veraltete Browser-Plugins, ungepatchte Content-Management-Systeme, oder ungesicherte Browsereinstellungen, um Dateidownloads mit Kryptomining-Modulen zu initiieren.
  • Exploits und Schwachstellen. Nutzt Schwachstellen im Zielsystem oder Netzwerk aus, wie z. B. schwaches SMB (server Nachrichtenblock) Konfigurationen oder ungepatchte Betriebssysteme. Angreifer nutzen bekannte Schwachstellen wie EternalBlue oder BlueKeep, um Kryptomining-Code remote auszufรผhren und ihn automatisch รผber Unternehmensnetzwerke zu verbreiten oder data centers.
  • Phishing und E-Mail-Kampagnen. Phishing Angriffe verbreiten Cryptojacking-Malware, indem sie Einzelpersonen dazu verleiten, auf bรถsartige Links zu klicken oder infizierte Anhรคnge zu รถffnen. Angreifer geben sich hรคufig als seriรถse Marken oder vertrauenswรผrdige Parteien aus und verleiten die Empfรคnger dazu, versehentlich die Cryptomining-Nutzlast auszulรถsen.

Arten von Cryptojacking

Es gibt mehrere Methoden des Cryptojacking, die jeweils unterschiedliche Methoden hinsichtlich Verbreitung, Persistenz und Ressourcenverbrauch nutzen.

Dateibasiertes Cryptojacking

Bei dieser Methode werden herkรถmmliche Malware-Dateien auf das System des Opfers รผbertragen. Hier sind die Merkmale von dateibasiertem Cryptojacking:

  • Schรคdliche ausfรผhrbare Dateien. Angreifer verpacken Kryptomining-Komponenten in betrรผgerische Installationsprogramme oder mit Trojanern infizierte Software-Updates.
  • Persistenzmechanismen. Die Schadsoftware kann geplante Aufgaben konfigurieren, Registrierungseintrรคge รคndern oder Startskripte manipulieren, um einen automatischen Neustart zu ermรถglichen.
  • Verschleierungstechniken. Techniken wie Code Packing oder Verschlรผsselung Verbergen Sie die Mining-Funktionen und verhindern Sie so eine schnelle Erkennung durch Antiviren-Engines.
  • Funktionen zur Ressourcenverwaltung. Einige Malware passt die Mining-Intensitรคt an in Echtzeit um die Generierung von Warnungen oder eine spรผrbare Leistungsverlangsamung zu vermeiden.

Browserbasiertes Cryptojacking

Browserbasiertes Cryptojacking nutzt in erster Linie Web-Scripting-Technologien, um Rechenleistung zu nutzen. So unterscheidet sich diese Methode von dateibasierten Methoden:

  • Keine direkte Installation. Angreifer mรผssen keine Dateien auf dem Computer des Opfers installieren. JavaScript wird sofort ausgefรผhrt, wenn ein Benutzer eine infizierte Seite besucht.
  • Ausfรผhrung im laufenden Betrieb. Der Mining-Prozess wird beendet, sobald die Registerkarte oder das Fenster geschlossen wird, sofern keine speziellen Pop-unders oder dauerhaften Skripte weiter ausgefรผhrt werden.
  • Anforderungen an die Benutzerinteraktion. Erfordert im Allgemeinen, dass das Opfer auf eine kompromittierte Site oder Anzeige zugreift.
  • Zuordnung infrage stellen. Die bรถsartigen Skripte stammen oft aus Werbenetzwerken Dritter oder versteckt iFrames, was die Ermittlungen zur wahren Quelle erschwert.

Cloud Kryptojacken

Cloud Kryptojacking-Ziele virtualisiert Umgebungen und nutzt moderne Bereitstellungsmethoden. Hier ist eine รœbersicht:

  • Zugriff รผber gestohlene Anmeldeinformationen. Angreifer melden sich an bei cloud Plattformen, die durchgesickerte oder schwache Anmeldeinformationen verwenden und groรŸe, fรผr das Kryptomining optimierte Instanzen erstellen.
  • Fehlkonfigurationen und Konten mit zu vielen Privilegien. Schlecht regiert Identitรคts- und Zugriffsverwaltung ermรถglichen Angreifern die Ausweitung ihrer Rechte und die Schaffung unbegrenzter Container oder virtuelle Maschinen.
  • Hohe finanzielle Auswirkungen. Die Kosten fรผr die รผberhรถhte Nutzung der Infrastruktur trรคgt die geschรคdigte Organisation.
  • Erweiterte Persistenz. Einige Angreifer integrieren Modifikationen auf Containerebene, Skript-Injektionen in Docker-Bilderoder Kryptominer, die in flรผchtigen Workloads die schwer zu erkennen sind.

Kryptojacking im IoT

IoT Beim Cryptojacking werden die typischerweise minimale Sicherheitslage und die begrenzten Ressourcen der angeschlossenen Gerรคte ausgenutzt:

  • Leichte Malware. Angreifer entwickeln Mining-Skripte, die fรผr stromsparende Chips in IoT-Umgebungen optimiert sind.
  • Botnet-Potenzial. GroรŸe Schwรคrme infizierter IoT-Gerรคte generieren gemeinsam Mining-Einnahmen im groรŸen Stil.
  • Begrenzte Sicherheitskontrollen. Legacy Protokolle, selten Firmware Updates und Standardanmeldeinformationen setzen IoT-Gerรคte ungeschรผtzt aus.
  • Langfristiger Einsatz. IoT-Kryptominer bleiben hรคufig bis zum Gerรคteausfall oder einem wesentlichen Firmware-Update in Betrieb, da die Besitzer die Ressourcennutzung selten รผberwachen.

Beispiele fรผr Cryptojacking-Angriffe

Nachfolgend finden Sie eine Liste realer Cryptojacking-Vorfรคlle, die veranschaulichen, wie Angreifer Systeme infiltrieren, Konfigurationen manipulieren und Ressourcen ausnutzen.

Teslas รถffentliche Cloud Kryptojacken

Im Jahr 2018 entdeckten Sicherheitsforscher, dass Angreifer Teslas Amazon Web Services (AWS)-Umgebung kompromittiert hatten. Die Angreifer infiltrierten eine ungesicherte Verwaltungskonsole und installierten Kryptomining-Software auf falsch konfigurierten Kubernetes Instanzen. Zu den Stealth-MaรŸnahmen gehรถrte das Verbergen der Mining-Pool-Adresse hinter CloudFlare-Dienste, wodurch es schwieriger zu erkennen ist. Teslas Ingenieure bemerkten schlieรŸlich eine ungewรถhnliche Ressourcennutzung, was zu einer internen Untersuchung fรผhrte, die den Cryptojacking-Vorfall aufdeckte.

Der browserbasierte Miner โ€žThe Pirate Bayโ€œ

Auf der Torrent-Index-Site The Pirate Bay wurde ein Coinhive-Skript ausgefรผhrt, das die CPU-Leistung der Benutzer fรผr Kryptomining nutzte. Die Site-Betreiber implementierten das Skript zunรคchst, ohne die Besucher zu benachrichtigen, was zu Protesten der Benutzergemeinschaft wegen der unangekรผndigten Ressourcennutzung fรผhrte. Der Vorfall erregte groรŸe Medienaufmerksamkeit und lรถste Debatten darรผber aus, ob die Ausfรผhrung von Kryptomining-Skripten eine Alternative zu herkรถmmlichen Online-Werbemodellen darstellen kรถnnte.

YouTube-Anzeigen mit Cryptojacking-Code

Anfang 2018 enthielten bรถsartige Anzeigen auf YouTube versteckte JavaScript-Miner. Angreifer kauften Werbeflรคchen und verschleierten Kryptomining-Nutzdaten in scheinbar harmlosen Anzeigen. Zuschauer, die auf diese Anzeigen stieรŸen, erlebten einen Anstieg der CPU-Auslastung, was darauf hindeutete, dass Kryptomining-Code in ihren Browsern ausgefรผhrt wurde. Die Sicherheitsteams von Google blockierten schlieรŸlich die anstรถรŸigen Anzeigen und entfernten die zugehรถrigen Werbekonten.

Browserbasiertes Cryptojacking im WLAN von Starbucks

Im Jahr 2017 beschwerten sich Kunden einer Starbucks-Filiale รผber plรถtzliche CPU-Spitzen, wรคhrend sie mit dem kostenlosen WLAN des Cafรฉs verbunden waren. Untersuchungen ergaben, dass ein bรถsartiges Skript in das Authentifizierungsportal des Netzwerks eingefรผgt wurde, wodurch die Gerรคte der Besucher im Hintergrund Kryptowรคhrungen schรผrften. Der Internetdienstanbieter, der den Starbucks-Hotspot betreibt, entfernte das Skript schlieรŸlich, nachdem Sicherheitsexperten das Problem รถffentlich gemacht hatten.

Wie erkennen Sie Cryptojacking?

So erkennen Sie Anzeichen fรผr Cryptojacking:

  • Analyse der Systemleistung. Lรคngere Zeitrรคume mit hoher CPU- oder GPU-Auslastung auรŸerhalb der Spitzenzeiten sind mรถgliche Hinweise darauf, dass Kryptomining stattfindet. Automatisierte รœberwachungstools, einschlieรŸlich Echtzeit-Leistungs-Dashboards, kรถnnen Anomalien isolieren, die von etablierten Normen abweichen.
  • รœberwachung des Netzwerkverkehrs. Beim Cryptojacking werden ausgehende Verbindungen zu Mining-Pools oder von Angreifern verwalteten serversSie kรถnnen Netzwerkflussprotokolle verwenden, Intrusion Prevention-Systemeund Bedrohungsanalysefilter, um verdรคchtige Verbindungen zu erkennen. Ungewรถhnliche Spitzen in DNS Anfragen an Unbekannte Domains oder Mining-Pools sind starke Indikatoren fรผr Cryptojacking-Aktivitรคten.
  • Scannen mit Sicherheitstools. Endpoint-Protection-Lรถsungen enthalten hรคufig spezielle Signaturen oder Heuristiken, die auf Kryptomining-Malware zugeschnitten sind. RegelmรครŸige Antiviren-Scans, hostbasierte Einbrucherkennungssystem (HIDS) und Endpoint Detection and Response (EDR)-Plattformen helfen bei der Identifizierung verdรคchtiger Prozesse. RegelmรครŸige Updates dieser Tools sind notwendig, um neue Cryptojacking-Varianten zu erfassen.
  • Browserรผberprรผfung. Wenn Cryptojacking browserbasiert ist, liefert die รœberprรผfung geรถffneter Tabs oder Entwicklerkonsolen Hinweise auf bรถsartige Skripte. Nicht autorisierte Skripte, die in die Website eingebettet sind Quellcode, eine ungewรถhnlich hohe CPU-Auslastung im Zusammenhang mit einer bestimmten Registerkarte oder Browsererweiterungen mit fragwรผrdigen Berechtigungen sind hรคufige Hinweise auf ein Cryptojacking-Skript.
  • Protokoll- und Ereigniskorrelation. Zentralisierte Log-Management-Lรถsungen wie SIEM-Plattformen, korrelieren Ereignisse aus mehreren Quellen (Betriebssysteme, Netzwerkgerรคte und Sicherheitstools). Analysten, die Korrelationsregeln anwenden, die sich auf anomale Prozessstarts, neu erstellte Benutzerkonten oder wiederholte fehlgeschlagene Anmeldeversuche konzentrieren, kรถnnen Cryptojacking-Versuche aufdecken.

Wie kann man Kryptojacking verhindern?

Um Cryptojacking zu verhindern, ist eine Kombination aus Software-Updates, Konfigurationsmanagement und Benutzerschulung erforderlich. Im Folgenden finden Sie eine Einfรผhrung in wichtige MaรŸnahmen, die die Abwehr gegen Cryptomining-Angriffe stรคrken.

1. Software- und Firmware-Updates durchfรผhren

Sicherheitspatches und Firmware-Upgrades wirken Schwachstellen entgegen, die von Cryptojackern ausgenutzt werden. Automatisierte Patch-Management stellt sicher, dass alle Umgebungenโ€”auf dem Gelรคnde, cloud, oder mobil โ€“ bleiben Sie auf dem neuesten Stand. Veraltete Systeme bieten keinen Schutz vor รถffentlich bekannt gewordenen Exploits, die fรผr den Einsatz von Cryptojacking verwendet werden.

2. Verwenden Sie Browsererweiterungen oder Skriptblocker

Skript-Blockierung Erweiterungen, datenschutzorientierte Add-ons und integrierte Browserfunktionen (wie das Deaktivieren von JavaScript fรผr nicht vertrauenswรผrdige Websites) reduzieren die Gefรคhrdung erheblich. Werbeblocker, die so konfiguriert sind, dass sie bekanntes Kryptomining blockieren URLs potenzielle Angriffe, die auf bรถsartigen Werbeskripten basieren, weiter abschwรคchen.

3. E-Mail- und Webfilter verstรคrken

Erweiterte E-Mail-Filterung, Sandboxen Anhรคnge und URL-Scans in Echtzeit blockieren Phishing-E-Mails oder Links zu kompromittierten Websites. Unternehmen setzen hรคufig DNS-Filterlรถsungen ein, die Versuche, bรถsartige Domรคnen aufzulรถsen, abfangen und so das Laden von Cryptojacking-Sites verhindern.

4. Verbessern Sie den Endpunktschutz

Virenschutz der nรคchsten Generation und EDR-Lรถsungen bieten Verhaltensanalysen und Speicherscans fรผr Kryptomining-Muster. Einige Produkte drosseln oder beenden Prozesse, die Merkmale aufweisen, die mit Kryptominern รผbereinstimmen, wie z. B. eine dauerhaft hohe CPU-Auslastung, die nichts mit bekannten legitimen Vorgรคngen zu tun hat.

5. Sichern Cloud Environments

Sicherung cloud Plattformen beinhalten starke Identitรคts- und Zugriffsverwaltung (ICH BIN), Netzwerksegmentierung, Containersicherheit und Workload-Scanning. Systemadministratoren sollten Warnungen zur Ressourcennutzung integrieren, die Teams รผber ungewรถhnliche Spitzen in der CPU-Auslastung informieren. Protokollierung und รœberwachung im groรŸen MaรŸstab kรถnnen Kryptojacking in Kubernetes oder Docker ร–kosysteme.

6. Personal schulen

Phishing, Social Engineeringund bรถsartige Anhรคnge bleiben die wichtigsten Verbreitungsmechanismen fรผr Cryptojacking-Malware. RegelmรครŸige Schulungen zur Cybersicherheit heben die Taktiken der Angreifer hervor und weisen die Mitarbeiter an, E-Mail-Quellen zu รผberprรผfen und nicht auf verdรคchtige Links zu klicken oder Makros in unbekannten Dateien zu aktivieren.

Wie entferne ich Cryptojacking?

So neutralisieren Sie Cryptojacking-Infektionen:

Identifizieren Sie die Infektionsquelle

Verwenden Sie Systemscans, Netzwerkprotokolle und Leistungsmetriken, um Kryptomining-Prozesse aufzuspรผren. Untersuchungen kรถnnen bรถsartige ausfรผhrbare Dateien, Skripte oder verdรคchtige Benutzerkonten aufdecken, die von Angreifern erstellt wurden. Die Identifizierung von Patient-Zero-Gerรคten hilft Ihnen, die anfรคnglichen Angriffsvektor und eine weitere Ausbreitung einzudรคmmen.

Beenden Sie schรคdliche Prozesse

Das Beenden aktiver Mining-Sitzungen ist entscheidend, um anhaltende Schรคden zu minimieren. Isolieren Sie infizierte Maschinen vom Netzwerk und beenden Sie Cryptojacking-Prozesse mithilfe von Betriebssystembefehlen, Sicherheitssoftwarekonsolen oder manuellen Dienstbeendigungen. Eine sofortige Eindรคmmung hilft dabei, Angreifer daran zu hindern, die kompromittierten Endpunkte zu kontrollieren.

Entfernen Sie schรคdliche Dateien oder Skripte

Beim dateibasierten Cryptojacking werden hรคufig ausfรผhrbare Dateien oder dynamische Bibliotheken in versteckten Verzeichnissen abgelegt. Suchen Sie diese mithilfe von forensischen Tools, hashbasierten Suchen oder Antivirenscans. Sobald Sie die bรถsartigen Objekte identifiziert haben, lรถschen Sie sie oder stellen Sie sie unter Quarantรคne. Beim browserbasierten Cryptojacking mรผssen mรถglicherweise Erweiterungen deinstalliert und Caches, oder das Entfernen eingefรผgten Codes aus Site-Vorlagen.

Neuaufbau oder Wiederherstellung kompromittierter Systeme

Durch die Neuabbildung betroffener Gerรคte wird eine grรผndliche Bereinigung aller hartnรคckigen Cryptojacking-Komponenten sichergestellt. Kritisch servers verlassen sich in der Regel auf aktuelle backups, um den Betrieb schnell wiederherzustellen. Bestรคtigen Sie die Integritรคt von backup Bilder oder Snapshots vor der erneuten Bereitstellung in Produktionsumgebungen.

Stรคrkung der Sicherheitskontrollen

Cryptojacking-Vorfรคlle heben Bereiche mit unzureichender Sicherheitslage hervor. Verfeinern Sie Ihre Patch-Kadenz, hรคrten Sie Konfigurationen ab und schrรคnken Sie Administratorrechte ein. Um zu verhindern, dass Cryptojacker erneut FuรŸ fassen, รผberprรผfen Sie regelmรครŸig Ihre Firewall Regeln, Richtlinien zur Netzwerksegmentierung und Einstellungen zur Angriffsprรคvention.

Kontinuierliche รœberwachung und Prรผfung

Routine Schwachstellenanalysen, und zentralisierte Protokollรผberprรผfungen sind unerlรคsslich, um neue Kryptojacking-Taktiken vorherzusehen. Nutzen Sie Echtzeit Bedrohungsanalyse und Anomalieerkennungssysteme, die verdรคchtige Muster kennzeichnen. Laufende Prรผfungen stellen sicher, dass bestehende Schwachstellen geschlossen bleiben, wodurch das Risiko von Kryptojacking auf lange Sicht deutlich reduziert wird.

Nikola
Kostisch
Nikola ist ein erfahrener Autor mit einer Leidenschaft fรผr alles, was mit Hightech zu tun hat. Nach seinem Abschluss in Journalismus und Politikwissenschaft arbeitete er in der Telekommunikations- und Online-Banking-Branche. Schreibe gerade fรผr phoenixNAPEr ist darauf spezialisiert, komplexe Themen rund um die digitale Wirtschaft, den E-Commerce und die Informationstechnologie aufzuschlรผsseln.