Mining-Malware-Trends 2018: Amateur-Cryptojacker und Apple Macs

2017 war ein großes Jahr für Cryptojacking. Die Anzahl der Fälle stieg um 8.500 Prozent, wie Zahlen zeigen, die von Symantec im März veröffentlicht wurden. Und es scheint, dass 2018 bisher ein noch größeres Jahr für Mining-Malware war. Der Bericht der Cyber Threat Alliance vom September enthüllte, dass Cryptojacking ab dem 1. Januar noch um weitere 500 Prozent wachsen könnte.

Hinter diesem einfachen Überblick über das Wachstum steckt jedoch ein größeres und komplizierteres Bild. Obwohl Berichte aus einigen Quartalen zeigen, dass Mining-Malware-Erkennungen in den ersten beiden Quartalen des Jahres 2018 zugenommen haben, heißt es in anderen Berichten wiederum, dass sie in Wirklichkeit zurückgegangen seien.

Und während das allgemeine Wachstum von Mining-Malware seit dem letzten Jahr auf die Volatilität der Kryptowährungskurse und das Vorkommen von Software-Bugs zurückgeführt wird, haben auch andere Faktoren eine bedeutende Rolle gespielt. Beispiele dafür sind die Beteiligung von Amateur-Cryptojackern und die Kosten für rechtmäßiges Mining.

Amateur-Cryptojacker

Wenn es in diesem Jahr einen dominanten Trend in der Unterwelt des Cryptojacking gibt, dann ist es die Tatsache, dass die meisten Mining-Malwares auf Monero ausgerichtet sind. Palo Alto Networks enthüllte im Juli, dass Monero 84,5 Prozent aller entdeckten Malwares ausmacht, Bei Bitcoin sind es im Vergleich dazu 8 Prozent und bei anderen Coins 7 Prozent.

Internet

Es gibt einen einfachen Grund dafür: Monero (XMR) ist nicht nur ein Datenschutz-Coin, sondern auch der wertvollste Datenschutz-Coin nach Marktkapitalisierung - und auf Platz 10 insgesamt. Er verwendet den Cryptonight Proof-of-Work (PoW)-Algorithmus und mischt damit die Eingaben des Benutzers mit denen anderer Benutzer. Er verwendet außerdem auch so genannte "Ring-Confidential-Transaktionen", mit denen die Menge der übertragenen XMR unkenntlich gemacht wird. Er ist daher ideal für Cyberkriminelle.

Monero war bereits 2017 der beliebteste Coin für Cryptojacker, aber 2018 sind eine Reihe neuer Entwicklungen dazugekommen, wodurch sich dieses Jahr vom vorherigen unterscheidet. Vor allem wird Cryptojacking zunehmend zur Domäne von Amateur-"Hackern", die durch kostengünstige Mining-Malware und durch klare Profite in diese illegale Aktivität gelockt werden. Laut der russischen Cybersicherheitsfirma Group-IB ist das Darkweb "überflutet mit billiger Mining-Software", die oft für nur 0,50 US-Dollar erhältlich ist.

Solche Arten von Software sind dieses Jahr im Überfluss vorhanden: Im Jahr 2017 stieß Group-IB auf 99 Verkaufsanzeigen für Kryptojacking-Software in Untergrundforen, während die Firma im Jahr 2018 477 zählte, was einem Anstieg von 381,8 Prozent entspricht. Das Unternehmen stellt in seinem Bericht fest:

"Eine niedrige Eintrittsbarriere in den illegalen Mining-Markt führt dazu, dass Kryptowährungen von Menschen ohne technisches Fachwissen oder Erfahrung mit betrügerischen Systemen gemint wird."

Mehr Wachstum

PCMit anderen Worten, Cryptojacking ist zu einer Art Hobbykriminalität geworden, die bei Tausenden von Amateur-Hackern beliebt ist. Das erklärt vielleicht, warum es in diesem Jahr zu einem deutlichen Anstieg in Bezug auf Entdeckungen gekommen ist. Kaspersky Labs hat Cointelegraph dabei darüber informiert, dass die Zahl der PC-Cryptojacking-Opfer von 1,9 Millionen im Jahr 2016/17 auf 2,7 Millionen im Jahr 2017/18 gestiegen sei. Evgeny Lopatin, Malware-Analyst bei Kaspersky Labs. erklärte:

"Das Mining-Modell ist einfacher zu aktivieren und stabiler als andere Angriffsvektoren. Man greift die Opfer an, mint diskret Kryptowährungen mit deren CPU- oder GPU-Leistung und verwandelt diese dann über legale Börsen und Transaktionen in echtes Geld."

Natürlich könnte auch der Gedanke aufkommen, dass wenn man von "Erkennungen" spricht, es ja gut möglich ist, dass ein Anstieg der Erkennungen weitgehend auf eine Verbesserung der Erkennungsmaßnahmen zurückzuführen ist. "Das ist jedoch nicht der Hauptgrund, da wir ein tatsächliches Wachstum sehen", sagt Lopatin.

"Unsere Analyse zeigt, dass immer mehr Kriminelle Krypto-Miner zunehmend für bösartige Zwecke auf der ganzen Welt einsetzen."

McAfee merkte in einem Bericht vom April an, dass bei seinen Erkennungen überwiegend CoinMiner gefunden wurde. Das ist eine Malware, die heimlich Code aus dem CoinHive XMR Mining-Algorithmus auf den Computer des Opfers schmuggelt. Das geschieht, wenn das Opfer eine infizierte Datei aus dem Web herunterlädt. Im Jahr 2018 gibt es allerdings die Neuerung, dass eine solche Schwachstelle nun auch Macs von Apple betrifft, die zuvor als viel sicherer galten, als ihre Windows-Rivalen.

Diese Entwicklung wurde von der US-amerikanischen Sicherheitsfirma Malwarebytes bemerkt, die in einem Blog-Post vom Mai über die Entdeckung eines neuen, bösartigen Krypto-Miners berichtete, der den echten XMRig-Miner nutzt. Thomas Reed, der Direktor von Mac im Unternehmen, schrieb:

"Häufig wird Mac-Malware etwa durch gefälschte Adobe Flash Player-Installer, Downloads von Piraterie-Webseiten und Köderdokumenten installiert, die Benutzer zum Öffnen verleiten."

Tatsächlich war das nicht die erste Mac-Mining-Malware, das entdeckt wurde. Reed erklärte, dass das Unternehmen "andere Krypto-Minern für macOS beobachtet, wie zum Beispiel Pwnet, CpuMeaner und CreativeUpdate".

EternalBlue

Obwohl Cryptojacking eher zu einem von Amateuren ausgeführten Phänomen geworden ist, ist es immer noch Tatsache, dass viele der diesjährigen Angriffe auf sehr "elitäre" Quellen zurückgeführt werden können. Das Cybersicherheitsunternehmen Proofpoint berichtete Ende Januar, dass sich Smominru, ein Cryptojacking-Botnet, auf über eine halbe Million Computer ausgebreitet habe. Vor allem trug die National Security Agency dazu bei, die einen Windows-Fehler entdeckt hatte, der dann online durchgesickert sei.

Diese Schwachstelle ist besser bekannt als EternalBlue, das bekanntlich für den WannaCry-Ransomware-Angriff vom Mai 2017 verantwortlich war. Und laut der Cyber Threat Alliance (CTA) ist das ein weiterer wichtiger Faktor für die diesjährige Zunahme des Cryptojacking um 459 Prozent.

Besorgniserregend ist, dass der CTA-Bericht darauf hindeutet, dass Cryptojacking wahrscheinlich nur dann zunehmen wird, wenn diese Aktivität erfolgreicher und profitabler wird:

"Der Geldzufluss durch Cryptojacking könnte für zukünftige, komplexere Aktionen von gefährlichen Gruppen verwendet werden. Zum Beispiel haben mehrere große Krypto-Mining-Botnets (Smominru, Jenkins Miner, Adylkuzz) Millionen von Dollar eingebracht."

Und es ist aktuell schon schlimm genug. Die CTA schreibt nämlich auch, dass die Infektion durch Mining-Malware mit hohen Kosten für die Opfer verbunden ist.

"Wenn Kriminelle Kryptowährungsminer in großen Unternehmensnetzwerken installieren, überwiegen die Kosten für den exzessiven Energieverbrauch, verschlechterten Betriebsabläufe, Ausfallzeiten, Reparaturen von Maschinen mit physischen Schäden und die Eindämmung der Malware in Systemen, die den Opfern entstehen, insgesamt betrachtet bei weitem die relativ geringe Menge an Kryptowährung, die die Angreifer typischerweise in einem einzigen Netzwerk verdienen".

Kosten

Das Stichwort Kosten ist wichtig, wenn man von Cryptojacking spricht. Und das nicht nur für (potenzielle) Opfer, sondern auch für die Täter. Denn Cryptojacking ist im Wesentlichen Diebstahl von Strom und CPU-Leistung. Das bedeutet, dass es nicht nur verbreitet sein wird, solange Monero und andere Coins einen Wert haben, sondern auch solange das Mining von XMR und anderen Kryptos teuer ist.

Laut dem CryptoCompare -Profitabilitätsrechner für Monero macht ein einzelner US-Miner mit einer Grafikkarte, die eine Hash-Rate von 600 H/s erreicht (zum Beispiel die Nvidia GTX 1080) und mit der Verwendung von 100W Leistung (eine sehr konservative Schätzung) jeden Monat nur 0,8033 US-Dollar (0,70 Euro) Gewinn. Das ist natürlich nicht besonders vielversprechend, was ein wichtiger Faktor dafür ist, warum sich so viele Amateure auf Cryptojacking umgestiegen sind. Denn XMR zu minen und den eigenen Strom zu bezahlen ist einfach nicht fruchtbar, wenn man kein großes Mining-Unternehmen ist.

Es gibt jedoch in jüngster Zeit Anzeichen dafür, dass das Monero-Mining profitabler geworden ist - auch für kleinere Miner. Dazu kam es nach seinem Hard-Fork am 6. April, der sein PoW-Protokoll änderte, um es für ASIC-Miner nutzlos zu machen. Diese ASIC-Miner dominieren das Mining quasi (insbesondere bei Bitcoin).

Kurz nachdem dieser Hard-Fork abgeschlossen war, gab es Berichte im Monero-Subreddit, dass die Profitabilität um 300 Prozent oder sogar 500 Prozent gestiegen war. Dieser Anstieg ging laut BitInfoCharts in den folgenden Wochen allerdings schnell verloren.

MONEROMonero selbst war aber auch genauso vorsichtig im Hinblick auf das Versprechen, dass es für immer gegen ASIC-Mining-Ausrüstung immun sei. "Es wird auf diese Weise anerkannt, dass ASICs eine unvermeidliche Entwicklung für jede Proof-of-Work-Kryptowährung sein könnten", schrieben die Entwickler dEBRYUNE und dnaleor in einem Blogpost vom Februar. "Wir räumen ebenfalls ein, dass ASICs unvermeidlich sein mögen, aber wir sind der Meinung, dass jeder Übergang zu einem ASIC-dominierten Netzwerk so egalitär wie möglich sein muss, um die Dezentralisierung zu stärken."

Ablehnung?

Angenommen, es sei profitabler geworden, wenn man XMR rechtmäßig mint. Das würde zu einer Abflachung des Wachstums bei Cryptojacking führen, das von einigen Cybersicherheitsfirmen beobachtet wurde. In seinem Bericht zu Q2 2018 hat Malwarebytes enthüllt, dass die Erkennungen von Mining-Malware von einem Höchststand von 5 Millionen Anfang März zu Anfang Juni auf einen Tiefststand von 1,5 Millionen fiel. Dieser Rückgang mag im Widerspruch zu dem stehen, was andere Analysten in diesem Jahr berichtet haben, aber da die Untersuchung von Malwarebytes in Bezug auf die erfassten Daten die aktuellste ist, ist sie wohl die am meisten maßgebliche.

Es ist unklar, ob dieser Rückgang auf eine Steigerung der Rentabilität für die legalen Monero-Miner, auf Unternehmen und Einzelpersonen, die sich über die Bedrohung durch Cryptojacking zunehmend bewusster werden oder auf einen allgemeinen Wertverlust der Kryptowährungen zurückzuführen ist. Unabhängig davon prognostiziert Malwarebytes, dass Kryptowährungs-Miner als Cybersicherheitsbedrohung "aus der Mode kommen werden". "Natürlich werden sich weiterhin noch viele Miner verbreiten und entdeckt werden", heißt es im Bericht abschließend. "Wie dem auch sei, es sieht so aus, als wären wir am Ende des 'Wahns' angelangt."