Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

Kryptomining-Malware: Aushebung einer Mining-Farm in einer Lagerhalle

Justin Fier, Director of Cyber Intelligence & Analytics | Donnerstag, 08. April 2021

Kryptowährungen erscheinen Woche für Woche in den Schlagzeilen und werden immer mehr als Mainstream-Investment und Zahlungsmittel akzeptiert. Überall auf der Welt nutzen Cyberkriminelle Rechenzentren, sogenannte Kryptomining-Farmen, um von diesem Trend zu profitieren – von China über Island oder den Iran bis hin zu einem Pappkarton in einem leerstehenden Lagerhaus.

Wie funktioniert das Mining von Kryptowährungen?

Unter Kryptowährungen sind dezentralisierte digitale Währungen zu verstehen. Im Gegensatz zu traditionellen Währungen, die jederzeit von Zentralbanken ausgegeben werden können, werden Kryptowährungen an keiner Stelle von einer zentralen Behörde kontrolliert. Stattdessen stützt sich die Währung auf eine Blockchain, die als digitales Hauptbuch für Transaktionen fungiert und von einem Peer-to-Peer-Netzwerk organisiert und gepflegt wird.

Miner erstellen und sichern Kryptowährungen, indem sie kryptografische Algorithmen lösen. Statt Druck- und Prägemaschinen verwenden Krypto-Miner spezialisierte Computer mit GPUs oder ASICs, um Transaktionen so schnell wie möglich zu validieren und dabei Kryptowährung zu produzieren.

Kryptomining-Farmen im Jahr 2021: Nicht säen und trotzdem ernten

Kryptomining verbraucht eine enorme Menge an Energie. Einer Analyse der University of Cambridge zufolge verbraucht die Erzeugung von Bitcoin so viel Energie wie ganze Volkswirtschaften – wenn nicht sogar mehr. So schlägt der Energiebedarf für Bitcoin mit 137,9 Terawattstunden pro Jahr zu Buche, wohingegen die Ukraine im gleichen Zeitraum nur 128,8 TWh verbraucht. Bitcoin ist neben Monero und Dogecoin nur eine von vielen Kryptowährungen, sodass der Gesamtenergieverbrauch aller Kryptowährungen weit höher liegt.

Da es leistungsstarke Mining-Computer mit viel Rechenleistung benötigt, ist das Kryptomining vor allem in Ländern mit relativ billigem Strom lukrativ. Der erhebliche Energieaufwand kann jedoch schwerwiegende Konsequenzen haben und sogar ganze Städte lahmlegen. Im Iran hat das veraltete Energienetz mit der Versorgung von Kryptofarmen zu kämpfen, was bereits zu großflächigen Stromausfällen geführt hat.

Manche dieser Kryptofarmen sind zwar legal, doch gibt es auch illegale Kryptominer, die die Energieversorgung des Iran belasten. Illegales Kryptomining ist im Iran unter anderem deshalb so beliebt, weil die iranische Währung unbeständig ist und der Inflation unterliegt, während Kryptowährungen (vorerst) sowohl gegen die inflationäre Geldpolitik als auch gegen US-Sanktionen immun sind. Das illegale Mining kann dagegen zu Netzwerkausfällen und erheblichen finanziellen Schäden führen.

Kryptomining-Malware in Unternehmensnetzwerken

Kryptomining-Malware kann die digitale Umgebung eines Unternehmens ausbremsen und sogar komplett außer Betrieb setzen, wenn sie nicht gestoppt wird. Cyber-KI hat Hunderte von Angriffen entdeckt und vereitelt, bei denen Geräte mit Kryptomining-Malware infiziert wurden, darunter:

  • ein Server, der für das Öffnen und Schließen einer biometrischen Tür zuständig ist;
  • ein Spektrometer, ein medizinisches IoT-Gerät, das die Wellenlängen des Lichts zur Analyse von Materialien verwendet;
  • 12 Server versteckt unter dem Fußboden einer italienischen Bank.

Im vergangenen Jahr ereignete sich ein Vorfall, bei dem Darktrace ungewöhnliche Kryptomining-Aktivitäten in einem Unternehmenssystem aufdeckte. Im Rahmen der Untersuchung ging die betroffene Organisation einer ungewöhnlichen Aktivität in einem ihrer Lagerhäuser nach, wo sie in einem Regal scheinbar harmlose Pappkartons vorfanden. Die Kartons erwiesen sich nach dem Öffnen als Tarnung für eine Mining-Farm, die sich an der Netzwerkleistung des Unternehmens bediente.

Abbildung 1: Die unauffälligen Pappkartons

Abbildung 2: Die Mining-Farm

Abbildung 3: Die Angreifer hatten ein getarntes Mining-Rig mit GPUs aufgebaut und dafür die Netzwerkleistung des Unternehmens genutzt.

Wäre die Farm unentdeckt geblieben, hätte sie nicht nur Geschäftsabläufe beeinträchtigt, sondern auch finanzielle Verluste für den Kunden verursacht. Mining-Rigs erzeugen zudem viel Wärme, was leicht zu einem Brand im Lagerhaus hätte führen können.

Dieser Fall zeigt die verdeckten Methoden, derer sich potenzielle Angreifer bedienen können, um Unternehmensinfrastrukturen mit Kryptomining-Malware zu kapern. Gleichzeitig demonstriert er die Notwendigkeit eines Sicherheitstools, das digitales Eigentum umfassend schützt und alle neuartigen oder ungewöhnlichen Ereignisse sofort erkennt. Die maschinellen Lernalgorithmen von Darktrace entlarvten unerwartete Verbindungen, die von den Lagerkartons ausgingen, als höchst anormal, sodass diese schließlich aufflogen.

In Organisationen, die Antigena nutzen, würden alle Geräte mit auffälligen Kryptomining-Aktivitäten von der Kommunikation mit den relevanten externen Endpunkten getrennt, wodurch illegales Datamining effektiv unterbunden würde. Antigena kann auch reagieren, indem es die normalen Verhaltensmuster, die sogenannten „Patterns of Life“, für die gesamte digitale Umgebung durchsetzt und so bösartiges Verhalten verhindert, während die normalen Geschäftsaktivitäten fortgesetzt werden können. Da sich böswillige Akteure immer weiter ausbreiten und Hacker neue Wege finden, um Kryptomining-Malware einzusetzen, ist die vollständige Sichtbarkeit und Autonomous Response von Darktrace in jedem Teil der digitalen Umgebung wichtiger denn je.

Wir danken Chloe Phillips, Analystin bei Darktrace, für ihre Einblicke.

Erfahren Sie mehr darüber, wie Darktrace verdeckte Kryptomining-Kampagnen stoppt

Abweichungen von Darktrace Modellen:

  • Compliance / Crypto Currency Mining Activity
  • Compromise / High Priority Crypto Currency Mining
  • Compromise / Monero Mining
  • Anomalous Connection / Rare External SSL Self-Signed
  • Compromise / HTTP Beaconing to Rare Destination
  • Compromise / POS and Beacon to Rare External
  • Compromise / Slow Beaconing Activity to External Rare
  • Compromise / SSL Beaconing to Rare Destination
  • Compromise / Sustained TCP Beaconing Activity to Rare Endpoint
  • Anomalous Connection / Multiple Failed Connections to Rare Destination
  • Compromise / Sustained SSL or HTTP Increase
  • Anomalous Connection / Connection to New TCP Port
  • Anomalous Connection / Connection to New UDP Port
  • Compromise / Multiple UDP Connections to Rare External Hosts
  • Compromise / SSL or HTTP Beacon
  • Compromise / Quick and Regular HTTP Beaconing
  • Device / Suspicious domains
  • Compromise / Suspicious Beacons to Rare PHP Endpoint
  • Anomalous File / Script from Rare
  • Anomalous Connection / New failed External Windows Connection
  • Device / New Failed External Connection
  • Anomalous Connection / POST to PHP on New External Host

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of Director for Cyber Intelligence & Analytics at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.