Beim Cryp­to­jack­ing in­fi­zie­ren Cy­ber­kri­mi­nel­le Computer und Mo­bil­ge­rä­te mit Malware, um deren Rech­ner­leis­tung für die Ge­ne­rie­rung von Kryp­to­wäh­run­gen zu nutzen. Erkennen lässt sich eine Infektion an einer un­er­klär­lich hohen CPU-Aus­las­tung. Ver­schie­de­ne Methoden helfen beim Erkennen, Aufhalten und Vorbeugen von Cryp­to­jack­ing.

My­De­fen­der
Cyber Security aus Deutsch­land
  • Geplante Viren-Scans
  • Au­to­ma­ti­sche Backups, einfache Wie­der­her­stel­lung

Was ist Cryp­to­jack­ing?

Cryp­to­jack­ing, zu­sam­men­ge­setzt aus „Crypto Currency“ (dt. Kryp­to­wäh­rung) und „Hig­h­jack­ing“ (dt. entführen) stellt eine hybride Malware dar, die sowohl klassisch in Form von Trojanern als auch durch Skripte über­tra­gen wird. Cryp­to­ja­cker haben Ran­som­wa­re und Viren als eine der größten Online-Be­dro­hun­gen weltweit abgelöst. In­fil­trier­te Systeme werden so von Kri­mi­nel­len unerkannt für das Cryp­to­mi­ning von Kryp­to­wäh­run­gen gekapert. Die Folge ist eine extrem hohe CPU-Aus­las­tung und ein hoher En­er­gie­ver­brauch. Im Un­ter­schied zu anderer Malware sind Cryp­to­ja­cker vorrangig am Kapern von Re­chen­ka­pa­zi­tä­ten in­ter­es­siert, während das Ausspähen sensibler Nutzer- oder Sys­tem­da­ten keine Rolle spielt.

Warum und wie kommt es zu Cryp­to­jack­ing?

Der Grund für Cryp­to­jack­ing ist direkt verknüpft mit dem Prozess des Cryp­to­mi­ning. Beim Cryp­to­mi­ning stellen Miner ihre eigenen oder mit anderen Minern zu Mining Pools kom­bi­nier­te Re­chen­ka­pa­zi­tä­ten zur Verfügung, um Trans­ak­tio­nen mit Kryp­to­wäh­run­gen zu le­gi­ti­mie­ren, zu ve­ri­fi­zie­ren und in der Block­chain zu do­ku­men­tie­ren. Um die Legalität von Trans­ak­tio­nen si­cher­zu­stel­len, sind Trans­ak­tio­nen mit der be­kann­tes­ten Kryp­to­wäh­rung Bitcoin öf­fent­lich und trans­pa­rent ver­zeich­net. Es gibt jedoch auch an­ony­mi­sier­te Altcoins wie Monero und Ethereum, die Kri­mi­nel­len genug An­ony­mi­tät für illegale Trans­ak­tio­nen über gekaperte Systeme bieten.

Da Cryp­to­mi­ning immer res­sour­cen­in­ten­si­ver und zeit­auf­wän­di­ger wird, hängt pro­fi­ta­bles Mining zunehmend von hoher Re­chen­ka­pa­zi­tät und teurem Strom­ver­brauch ab. Illegales Mining in Form von Cryp­to­jack­ing zielt darauf ab, fremde Re­chen­ka­pa­zi­tä­ten zu nutzen, um ohne eigene Be­triebs­kos­ten Profite zu erzielen. Hierzu werden be­trof­fe­ne Systeme oft zu Mining-Botnetzen hin­zu­ge­fügt, die als illegale Mining Pools fungieren und Rech­ner­leis­tung bündeln.

Wie kann Cryp­to­jack­ing ablaufen?

Ungewollt und unbewusst Teil eines groß an­ge­leg­ten Cryp­to­jack­ing-Netzwerks zu werden, geht schneller als Sie denken. Verleitet durch Scareware klicken Sie bei­spiels­wei­se auf einen Link, der auf eine in­fi­zier­te Website führt oder laden eine Dritt­an­bie­ter-App aus un­se­riö­ser Quelle herunter und schon sind Sie betroffen. Während Sie abgesehen von einem lang­sa­me­ren System nichts merken, nutzt der Trojaner die Re­chen­ka­pa­zi­tä­ten Ihres PCs oder Mo­bil­ge­räts im Stillen.

Doch nicht nur Pri­vat­nut­zer sind das Ziel von Cryp­to­ja­ckern: Berühmte Cryp­to­jack­ing-Fälle gab es zum Beispiel im Fall von Tesla Motors, wo Mit­ar­bei­ter un­ge­schütz­te An­wen­dun­gen, die mit Cryp­to­jack­ing-Skripten infiziert waren, nutzten. Ein weiterer bekannter Fall war das be­reit­ge­stell­te Wi-Fi von Starbucks-Filialen in Buenos Aires, über das die Rech­ner­leis­tung ver­bun­de­ner Laptops und Mo­bil­ge­rä­te gekapert wurde. Weitere Beispiele sind die Website von Chris­tia­no Ronaldo und vom San Diego Zoo, die mit dem Mining-Programm Coinhive un­wis­sent­lich die Rech­ner­ka­pa­zi­tä­ten der Sei­ten­be­su­cher für Mining nutzten.

Welche Arten von Mining-Malware gibt es?

Je nachdem, wie fremde Rechner oder Mo­bil­ge­rä­te für Cryp­to­jack­ing genutzt werden, un­ter­schei­det man zwischen folgenden Ka­te­go­rien der ge­fähr­li­chen Malware:

  • Cryp­to­jack­ing durch Trojaner/Adware: Systeme, die sich durch in­fi­zier­te Webseiten, Dateien, Drive-by-Downloads oder auf andere Weise mit einem Cryp­to­jack­ing-Trojaner in­fi­zie­ren, werden dazu genutzt, CPU oder GPU fürs Mining zur Verfügung zu stellen. Da sie Antiviren-Programme und den Task­ma­na­ger umgehen, bleiben sie ty­pi­scher­wei­se lange un­ent­deckt.
  • Cryp­to­jack­ing durch Ja­va­Script/Browser: Hier wird Mining-Code in Skripten z.B. in Form von Code­schnip­seln des Coinhive-Programms in Websites versteckt und vom Browser aus­ge­führt. Besucher der Website stellen unbewusst Ihre Rech­ner­leis­tung fürs Mining zur Verfügung, unter Umständen sogar, nachdem Sie die Seite verlassen haben, z.B. durch ver­steck­te Popups oder Tabs. Da Streaming-Portale ihre Nutzer lange auf einer Seite halten, sind auch diese durch Mining-Codes in Video-Playern oder getarnte Cryp­to­jack­ing-Ads betroffen.

Ist Cryp­to­jack­ing immer bösartig?

Es mutet ironisch an, wenn der Her­stel­ler des für Cryp­to­jack­ing häufig genutzten Coinhive-Ja­va­Script-Codes beteuert, dass Coinhive lediglich eine Al­ter­na­ti­ve zu klas­si­schen Wer­be­ban­nern sein soll. Tat­säch­lich ist die Idee hinter einem Code wie Coinhive nicht au­to­ma­tisch illegal. Vor­aus­ge­setzt, sie wird nicht miss­braucht. Grund­sätz­lich kann ein in Webseiten in­te­grier­ter Code, über den Besucher sich zum Mining bewusst bereit erklären, eine sichere Al­ter­na­ti­ve zu Wer­be­an­zei­gen sein, die auf schad­haf­te Scam- oder Phishing-Seiten führen oder sensible Nut­zer­da­ten stehlen.

Vor­aus­set­zung dafür ist, dass Sei­ten­be­su­cher wie bei Cookie-Abfragen zustimmen, für den Website-Besuch einen Teil Ihrer Re­chen­leis­tung an­zu­bie­ten. Auf diese Weise könnten sich Website-Betreiber auch ohne hohe Dichte an un­kon­trol­lier­ter Werbung fi­nan­zie­ren. Umsetzen ließe sich dies jedoch nur durch un­ab­hän­gi­ge Standards und Trans­pa­renz von Cryp­to­mi­ning-Codes in Web­pro­jek­ten. Ein er­folg­rei­ches Beispiel für den legalen Einsatz von Coinhive war eine Spen­den­in­itia­ti­ve von UNICEF Aus­tra­li­en, bei der Spenden durch einen Website-Besuch generiert wurden.

So erkennen Sie Cryp­to­mi­ning-Malware

Wer sich fragt, ob das eigene Gerät von Cryp­to­mi­ning-Malware betroffen ist, sollte auf eines der häufigen Anzeichen achten, an denen sich Schad­soft­ware erkennen lässt: Eine un­er­klär­lich hohe CPU- oder GPU-Aus­las­tung. Da Cryp­to­ja­cker vorrangig an der Re­chen­leis­tung in­ter­es­siert sind, lassen sich die Aus­wir­kun­gen der Malware nur schwer verbergen. Um hohe Profite durch Cryp­to­jack­ing zu erzielen, muss auch eine ent­spre­chend hohe Aus­las­tung erfolgen. Diese kann mitunter bis zu 90 oder 100 Prozent reichen.

Auch ein auffällig lauter Betrieb der Com­pu­ter­lüf­tung oder ein stark erhitztes Gerät deutet auf Prozesse im Hin­ter­grund hin. Haben Sie also keine re­chen­in­ten­si­ven Aufgaben geöffnet und stellen trotzdem fest, dass Ihr Gerät überhitzt oder fast voll­stän­dig aus­ge­las­tet ist, deutet das auf einen möglichen Befall mit Cryp­to­jack­ing-Malware hin. Im schlimms­ten Fall kann un­er­kann­tes Cryp­to­jack­ing die Le­bens­zeit Ihrer Geräte durch per­ma­nen­te Aus­las­tung verkürzen und zu hohen Strom­rech­nun­gen führen.

Wie lässt sich Mining-Malware entfernen?

Be­trof­fe­ne, deren System von Cryp­to­jack­ing-Trojanern infiziert wurde, gehen in der Regel wie in anderen Fällen von Malware-Befall vor:

Scannen Sie Ihr Gerät mit zu­ver­läs­si­ger Anti-Malware-Software, um zu prüfen, ob das Schad­pro­gramm auf­zu­spü­ren ist und be­sei­ti­gen die Malware im Anschluss. Da Cryp­to­jack­ing-Trojaner al­ler­dings dazu in der Lage sein können, Anti-Viren-Software zu de­ak­ti­vie­ren und den Task-Manager aus­zu­trick­sen, indem Sie inaktiv werden oder sich in den Registry-Sys­tem­da­tei­en ver­ste­cken, führt diese Methode nicht immer zum Erfolg.

Sollten Anti-Malware-Programme keinen Fund machen, wenden Sie sich im nächsten Schritt an pro­fes­sio­nel­le IT-Si­cher­heits­exper­ten. Auf Nummer sicher gehen Sie auch, indem Sie Ihr Gerät komplett neu aufsetzen – z.B. mithilfe der Windows-Wie­der­her­stel­lung.

Cryp­to­jack­ing-In­fek­tio­nen vorbeugen: So funk­tio­niert‘s

In­fek­tio­nen mit Cryp­to­jack­ing-Trojanern beugen Sie vor, indem Sie Ihr System durch Updates immer auf dem neuesten Stand halten, ein zu­ver­läs­si­ges, stets ak­tua­li­sier­tes Antiviren-Programm nutzen und auf­fäl­li­ges Verhalten Ihres Systems, z.B. Erhitzen, laute Lüftung und langsames Re­chen­leis­tung, nicht igno­rie­ren.

Cryp­to­jack­ing in Browsern oder auf Websites vorbeugen

Da Cryp­to­jack­ing nicht immer Ihr System befällt, sondern auch Re­chen­ka­pa­zi­tä­ten über Java-Skripte, Wer­be­an­zei­gen oder Streams kapert, lässt sich das illegale Mining durch blo­ckier­te Java-Skripte oder Mining-Fil­ter­lis­ten ver­hin­dern. Java-Skripte lassen sich in­zwi­schen in jedem Browser de­ak­ti­vie­ren. Das kann jedoch dazu führen, dass viele Funk­tio­nen von Websites nicht mehr aus­führ­bar sind. Browser-Er­wei­te­run­gen wie „No Coin“ oder „Mi­ner­Block“ versuchen darüber hinaus Mining-Ak­ti­vi­tä­ten im Browser direkt zu un­ter­bin­den.

Tipp

Wollen Sie Ja­va­Script de­ak­ti­vie­ren ohne gänzlich auf Skript-Funk­tio­nen beim Browsen ver­zich­ten zu müssen? Erstellen Sie einfach eine Whitelist an Websites und Java-Skripten, denen Ihr Browser vertrauen soll.

Noch sicherer ist es, ganz­heit­li­che Si­cher­heits­lö­sun­gen wie My­De­fen­der von IONOS oder Mal­ware­bytes zu nutzen, die sowohl „klas­si­sche“ Malware als auch Mining-Malware erkennen und präventiv bekämpfen.

Daten durch Backups richtig schützen

Da Cryp­to­jack­ing auch zu Schäden an Hardware und somit zu un­wie­der­bring­li­chen Da­ten­ver­lus­ten führen kann, sollten Sie außerdem für re­gel­mä­ßi­ge externe Da­ten­back­ups sorgen. Die im vorigen Abschnitt erwähnte Lösung My­De­fen­der von IONOS weiß auch hier zu über­zeu­gen: Au­to­ma­ti­sche Backups in ISO-zer­ti­fi­zier­ten deutschen Re­chen­zen­tren sorgen für doppelten Schutz und mehrfach ge­si­cher­te Daten. Sie haben dabei die Mög­lich­keit, nur aus­ge­wähl­te Daten zu sichern oder komplette Backups anzulegen.

Tipp

Sichern Sie mit My­De­fen­der von IONOS Ihre Daten au­to­ma­tisch und nach Bedarf durch ver­läss­li­che Malware-Scans und re­gel­mä­ßi­ge Daten-Backups in hoch­si­che­ren deutschen Re­chen­zen­tren.

Welche anderen Malware-Arten gibt es?

Malware lässt sich grob in folgende drei Ka­te­go­rien einteilen:

  • Viren: Bösartige Pro­gramm­codes, die sich selbst ver­viel­fa­chen und Systeme ma­ni­pu­lie­ren, be­schä­di­gen und Malware nachladen
  • Würmer: Eine Un­ter­klas­se der Viren, die ebenfalls Systeme ma­ni­pu­liert, be­schä­digt, Türen für weitere Schad­soft­ware öffnet, Rech­ner­ka­pa­zi­tät über­las­tet und sich im Gegensatz zu Viren ohne Zutun von Nutzern etwa durch E-Mails und Spam in Netz­wer­ken aus­brei­tet; ein bekanntes Beispiel: Emotet
  • Trojaner: Bösartige Pro­gramm­codes, die sich nicht selbst re­pro­du­zie­ren und ver­schie­dens­te schad­haf­te Funk­tio­nen in einem System ausüben

Wie Cryp­to­jack­ing zeigt, können die Grenzen zwischen Schad­pro­gram­men fließend sein. So dienen zum Beispiel Com­pu­ter­wür­mer oft dazu, die Tür für bösartige Trojaner und Rootkits zu öffnen. Zu den häu­figs­ten Funk­tio­nen von Malware zählen:

  • Spionage und Phishing sensibler Nutzer- und Zu­gangs­da­ten
  • Ver­brei­tung oder Her­un­ter­la­den weiterer Malware z.B. als Teil eines Botnets
  • In­fil­tra­ti­on zur Aus­füh­rung von Cy­ber­an­grif­fen
  • „Hig­h­jack­ing“ von Systemen zum Ausführen gezielter Aufgaben
  • Über­las­tung von Rechnern und Systemen durch DDoS- und DoS-Angriffe
  • Ver­schlüs­se­lung von Daten zum Zweck der Er­pres­sung wie im Fall von Ran­som­wa­re
Zum Hauptmenü