Beim Cryptojacking, dem Infizieren von Computern mit Malware zum Schürfen von Kryptowährungen, sind die Preise zusammen mit dem Cryptojacking gefallen. Der Virus und seine Verbreiter passen sich an, genau wie jeder andere geschickte Organismus, der vom Aussterben bedroht ist. Laut Symantec sind die Kryptojacking-Vorfälle zwischen Januar 2018 und Januar 2018 um 52 Prozent zurückgegangen, aber die Methoden zur Bereitstellung, Ausführung und Zielerfassung sind ausgefeilter geworden.
Systematec
Der jüngste Bericht von Symantec befasste sich mit Beapy. Dabei handelt es sich um eine Kryptojacking-Kampagne, die auf Geschäfte und Unternehmen in Asien abzielt. Der Virus verbreitet sich per E-Mail über eine Software-Schwachstelle namens EternalBlue, die von der US-amerikanischen NSA entwickelt wurde. Symantec wurde als erstes Unternehmen im Januar dieses Jahres auf diese Bedrohung aufmerksam.
Der Virus infizierte im März mehr als 2.000 Geräte und hat sich seither stetig ausgebreitet.
"Diese Kampagne zeigt, dass Kryptojacking bei Cyberkriminellen weniger beliebt ist als auf dem Höhepunkt im Jahr 2018, aber es ist immer noch ein Schwerpunkt für einige von ihnen, wobei Unternehmen jetzt ihr Hauptziel sind", heißt es in der Einleitung zu diesem Bericht.
Symantec-Grafik
Der Bericht besagt, dass 98 Prozent der Unternehmen mit Ransomware infiziert sind. Dies steht im Einklang mit den Trends bei Ransomware-Angriffen im Jahr 2018, wo ein Rückgang der Gesamtbedrohungen mit einem Anstieg der auf Unternehmen ausgerichteten Infektionen korreliert wurde. Allan Neville, Symantec Threat Intelligence Analyst, sagte, dass diese Angriffe "einige Geräte aufgrund der hohen CPU-Auslastung funktionsunfähig machen können".
China ist das Hauptziel dieses Angriffs und stellt alle anderen betroffenen Länder mit einem Anteil von 83 Prozent in den Schatten. Weitere betroffene Länder sind Japan, Südkorea und Hongkong, Taiwan und Bangladesch, die Philippinen und - als einzige Länder der östlichen Hemisphäre - Jamaika und Japan.
Virusinfektionsstrategie
Infizierte Excel-Tabellen verbreiten den Virus auf Windows-Computern. Sobald die Tabellenkalkulation geöffnet wurde, öffnete sie eine Hintertür zum Betriebssystem des Computers. Er nutzte das DoublePulse-Exploit, das ebenfalls in der gleichen Gruppe von Cyber-Tools auftauchte, die den Angreifern den EternalBlue-Vektor lieferten.
Die Virendateien könnten sich "seitlich über Netzwerke" verbreiten, indem sie eine Schwachstelle im Server Message Block-Protokoll von Windows ausnutzen.
Die Mining-Malware stahl auch Anmeldedaten wie Benutzernamen und Kennwörter von infizierten Geräten, um sich auf andere Computer innerhalb eines Netzwerks zu verbreiten. Das Unternehmen entdeckte auch Beapy-Versionen auf einem öffentlich zugänglichen Server, indem es eine Liste von IP-Adressen verwendete, um eine Trefferliste potenzieller Opfer zu erstellen.
Mehr Aufwärtspotenzial als zuvor
Eines der auffälligsten Ergebnisse der Studie ist, dass sich Beapy von der Kryptojacking-Malware unterscheidet, die verwendet wurde, als die Infektionen Anfang 2018 ihren Höhepunkt erreichten.
Diese Kampagnen nutzten zum großen Teil browserbasierte Miner. Diese Viren verwendeten das Coinhive-Protokoll, um Monero für wohltätige Zwecke zu schürfen. Dieses Protokoll wurde von UNICEF und anderen Websites wie UNICEF verwendet. Der Bericht legt nahe, dass Coinhive den Betrieb im März 2019 aufgrund des starken Rückgangs von Monero im Bärenmarkt und eines stetigen Rückgangs von Kryptojacking eingestellt hat.
Beapy setzt nicht auf Browser-Mining, sondern auf einen lukrativeren und komplexeren File-Mining-Ansatz. Dateimining ist effizienter als Browser-Mining und kann einen höheren Ertrag als Browser-Mining bringen. Der durchschnittliche 30-Tage-Gewinn bei dieser Technik könnte den Blackhats des Virus beispielsweise $750.000 einbringen. Dagegen erscheint der Ertrag des Browser-Minings mit $30.000 mickrig.
Bild mit freundlicher Genehmigung von Symantec
Neville sagte, dass dateibasiertes Coinmining nicht neu ist, obwohl es auf dem Vormarsch ist. Es ist nur "in den letzten Jahren gegenüber dem browserbasierten Kryptomining in den Hintergrund getreten", weil es weniger technische Fähigkeiten erfordert.
Er sagte: "Die Einführung von Coinhive - und seiner vorgefertigten Skripte - hat diese Barriere noch weiter gesenkt."
Ein Computer kann auch dann noch Browser-Mining betreiben, wenn er gegen den Virus geschützt ist.
Neville erklärte, dass es noch zu früh sei, um zu wissen, ob es ein Wiederaufleben des dateibasierten Minings im Gegensatz zum browserbasierten Mining geben wird. Allerdings werden sich die Erkennung und der Schutz vor Coinminern verbessern, so dass Cyberkriminelle nach "alternativen Einnahmequellen" suchen werden.
"Da die Cyberkriminellen ihre Taktiken verbessern, haben wir auch beobachtet, dass ihre Vorgehensweise immer spezifischer wird.
Verteidigung gegen die Bedrohung
Der Bericht schließt mit einer Auflistung der Nebenwirkungen von Cryptojacking-Infektionen, wie z. B. Überhitzung des Geräts, übermäßiger Batterieverbrauch und mögliche Gerätezerstörung.
Außerdem werden die Sicherheitsmaßnahmen erläutert, die Unternehmen ergreifen können, um sich vor solchen Angriffen zu schützen. Unternehmen können Sicherheitslösungen auf der Hardware- und Softwareseite einsetzen, darunter Firewalls, Schwachstellenbewertungen, robuste Passwörter und Mehrfaktor-Authentifizierung.
Die Aufklärung der Mitarbeiter ist entscheidend. Der Bericht lehrt Lektionen über Kryptojacking und wie man es erkennt. Viele dieser Punkte wurden von Neville am Ende unserer Korrespondenz noch einmal bekräftigt.
Unternehmen sollten sicherstellen, dass ihre Mitarbeiter darin geschult sind, Phishing-E-Mails zu erkennen und zu melden, die ihnen von Malware-Anbietern zugesandt werden. Außerdem sollten sie überlappende und sich gegenseitig unterstützende Abwehrsysteme implementieren, um sich gegen Einzelpunktausfälle in jeder Technologie oder Schutzmethode zu schützen. Dazu gehört der Einsatz von Endpunkt-, Web- und E-Mail-Schutztechnologien, Firewalls und Lösungen zur Schwachstellenanalyse. Es ist wichtig, diese Sicherheitssysteme mit den neuesten Schutzmaßnahmen auf dem neuesten Stand zu halten und sicherzustellen, dass die Systeme vor Exploits wie EternalBlue geschützt sind.