Le cryptojackingook bekend als cryptografisch hackenis een vorm van cyberaanval verraderlijk en steeds wijder verspreid. Het bestaat uit cybercriminelen à heimelijk IT-middelen exploiteren (CPU-processor, grafische kaart GPURAM, bandbreedte en dus elektrisch vermogen) van slachtoffers, zonder hun toestemming of medewetenom cryptocurrencies genereren (zoals Bitcoin, Monero, Ethereum en andere digitale valuta).
In tegenstelling tot andere meer directe en zichtbare cyberaanvallen zoals de ransomwarecryptojacking onderscheidt zich door zijn stealth. Het doel van de hackers is niet om het systeem van het slachtoffer lam te leggen, maar om discreet geld verdienen zijn rekenkracht gebruiken om cryptocurrencies te delven. Deze illegale activiteit stelt aanvallers in staat om potentieel aanzienlijke inkomsten te genereren zonder de aanzienlijke kosten te hoeven dragen die gepaard gaan met legitieme mijnbouw (aankoop van gespecialiseerde hardware, hoog energieverbruik, enz.).
Kenmerken van cryptojacking
- Heimelijkheid en discretie: cryptojacking is ontworpen om te werken in achtergrondZe minimaliseren zichtbare tekenen van infectie om detectie zo lang mogelijk te vermijden. Hackers proberen de duur van de infectie te maximaliseren om hun winst te maximaliseren.
- Breed scala aan doelen : Geen enkel aangesloten systeem is veilig. Potentiële doelen zijn zeer gevarieerd en omvatten :
- Individuen : pc's, smartphones, tablets.
- Bedrijven van alle groottes: Werkstations van werknemers, bedrijfsservers, IT-infrastructuren.
- Aanbieders van clouddiensten : cloudservers, virtuele instanties (vanwege de geconcentreerde en vaak onderbeveiligde rekenkracht).
- Verbonden objecten (IoT) : bewakingscamera's, routers, domotica-apparaten (vaak over het hoofd gezien op het gebied van beveiliging).
- Kritieke infrastructuur : industriële besturingssystemen, energienetwerken, mogelijk gezondheidszorgsystemen (hoewel minder vaak het doelwit, bestaat het risico wel degelijk).
- Winstgevendheid voor aanvallers, laag risico : cryptojacking wordt gezien als een cybercriminele activiteit relatief laag risico voor aanvallers, omdat het minder zichtbaar is dan andere soorten aanvallen en doorlopend passief inkomen kan genereren zolang de infectie onopgemerkt blijft. De kosten voor het lanceren van een cryptojacking-campagne zijn ook relatief laag.
Infectievectoren
- Webscripts (Drive-by Mining) : schadelijke JavaScript-code geïnjecteerd in gecompromitteerde websitesonline advertentieplatforms of rechtstreeks in malvertising. Wanneer een gebruiker de site bezoekt of de advertentie in zijn browser verschijnt, wordt het script uitgevoerd en begint het cryptocurrencies te delven. rechtstreeks via de webbrowser van het slachtofferzonder software te installeren. Coinhive is het emblematische voorbeeld van deze techniek.
- Malware (kwaadaardige software) : meer hardnekkige en geavanceerde cryptojacking-software, verspreid via traditionele methoden :
- Phishing en social engineering : frauduleuze e-mails die slachtoffers aanmoedigen om geïnfecteerde bijlagen te downloaden of op kwaadaardige koppelingen te klikken.
- Beschadigde bijlagen : documenten, afbeeldingen of uitvoerbare bestanden met boobytraps.
- Gehackte of gecompromitteerde applicaties : illegaal gedownloade software of gewijzigde versies van legitieme toepassingen die een verborgen minor bevatten.
- Kwetsbaarheden software : beveiligingslekken uitbuiten in besturingssystemen of toepassingen die niet zijn bijgewerkt (ongepatchte servers, verouderde software).
- Gecontaineriseerde omgevingen (Docker/Kubernetes) : onveilige configuraties van Docker-containers of Kubernetes-orchestrators in cloudomgevingen. Kwaadaardige container-images kunnen worden gedistribueerd op openbare registers zoals Docker Hub, of kwetsbare configuraties kunnen binnendringing en installatie van miners in containers mogelijk maken.
- Schadelijke browserextensies : Extensies die legitiem lijken, maar een verborgen cryptocurrency miner bevatten en activeren zonder dat de gebruiker het weet.
Hoe cryptojacking werkt
Hoe cryptojacking werkt
- Infectie :
- Uitvoering van het script of de malware : Het JavaScript-script op het web wordt geactiveerd wanneer een gecompromitteerde pagina wordt bezocht. De malware wordt uitgevoerd na het downloaden en installeren (vaak heimelijk). Voorbeelden van bekende cryptojacking-malware zijn CoinMiner, PowerGhost, XMRig en Lemon_Duck.
- Uitbuiten van kwetsbaarheden : aanvallers kunnen het netwerk scannen op servers of systemen met bekende, ongepatchte kwetsbaarheden (gebrek aan patches veiligheid) ofs blootgestelde poorten (onbeveiligde services die toegankelijk zijn vanaf het internet) om een minderjarige te installeren.
- Clandestiene mijnbouw :
- Intensief gebruik van hulpbronnen : Eenmaal geïnstalleerd, gebruikt de miner de rekenkracht van de CPU (processor) en/of GPU (grafische kaart) van het slachtoffer om complexe Proof of Work-algoritmen op te lossen, die nodig zijn om transacties te valideren en nieuwe blokken te maken in de blockchain van de doelcryptocurrency.
- Anonieme cryptocurrencies favoriet : Cryptocurrencies die worden gemined zijn vaak degene die een betere anonimiteit en moeilijkere traceerbaarheid bieden, zoals Monero (XMR), maar andere zoals Zcash of Ethereum Classic kunnen ook het doelwit zijn.
- Overdracht van winsten naar de portefeuille van de aanvaller : worden de gegenereerde cryptocurrencies automatisch naar de digitale portemonnee gecontroleerd door de cybercrimineel.
- Volharding en ontsnapping :
-
- Processen verbergen : les mineurs tentent de se dissimuler pour ne pas être détectés par l’utilisateur ou les outils de sécurité. Ils peuvent utiliser des techniques de rootkit pour masquer leurs processus en cours d’exécution.
- Veiligheidsinrichtingen uitschakelen : Sommige cryptojacking-malware kan proberen de beveiligingstools op het systeem van het slachtoffer (antivirus, enz.) uit te schakelen of te omzeilen, firewallenz.).
- Zijdelingse voortplanting : In bedrijfsnetwerken kunnen miners proberen zich lateraal te verspreiden naar andere kwetsbare machines, waardoor de totale rekenkracht voor aanvallers toeneemt.
Gevolgen van cryptojacking
- Systeemvertraging en instabiliteit :
- Oververhitting van apparaten : Intensief gebruik van de CPU/GPU genereert overmatige hitte, wat op de lange termijn componenten kan beschadigen en crashes kan veroorzaken.
- Vertraging en traagheid : Toepassingen en het besturingssysteem worden traag en reageren niet meer, waardoor het apparaat moeilijk te gebruiken is.
- Blokkades en crashes : In extreme gevallen kan het systeem instabiel worden en vastlopen.
- Hogere energiekosten :
- Hogere elektriciteitsrekeningen : energieverbruik stijgt door de constante mijnbouwactiviteit, wat een aanzienlijke invloed heeft op elektriciteitsrekeningenvooral in professionele omgevingen (datacenters, bedrijven).
- Invloed op het milieu : draagt cryptojacking bij aan een toename van de koolstofvoetafdruk door onnodig energieverbruik.
- Voortijdige materiaalslijtage :
- Verminderde levensduur van onderdelen : Oververhitting en intensief gebruik van de CPU/GPU versnellen de slijtage van elektronische onderdelen, waardoor ze minder lang meegaan en mogelijk vaker hardware moet worden vervangen.
- Potentiële juridische risico's :
-
- Indirecte strafrechtelijke aansprakelijkheid : hoewel het slachtoffer gehackt kan zijn, kan het IP-adres van hun internetverbinding geassocieerd zijn met illegale activiteiten (cryptocurrency mining), wat juridische problemen kan opleveren, vooral in het geval van een onderzoek
Beroemde voorbeelden
- Coinhive (2017-2019): Het Coinhive JavaScript-script is berucht geworden. Het werd ingesloten in legitieme websites (soms zonder medeweten van de eigenaars) of gehackte sites. Wanneer een bezoeker de pagina opende, minde het script Monero via hun browser. Hoewel Coinhive zichzelf presenteerde als een alternatieve monetisatieoplossing voor websites, werd het gebruik ervan wijdverspreid in een cryptojackingcontext.
- Smominru : a botnet (netwerk van zombiemachines) dat meer dan 500.000 Windows-machines over de hele wereld infecteerde, voornamelijk servers, om cryptocurrencies te delven.
- Aanvallen via Docker Hub : Kwaadaardige gecontaineriseerde images met minderjarigen werden vrijgegeven op het Docker Hub image-sharing platform, waardoor ontwikkelaars en bedrijven die ze zonder controle gebruikten in de val liepen.
- Cryptojacking op Microsoft Exchange-servers : Kwetsbaarheden in Microsoft Exchange-servers zijn misbruikt om miners te installeren op duizenden servers over de hele wereld.
Detectie en bescherming
| Detectie/beschermingsmethode | Concrete acties |
|---|---|
| Prestatiebewaking | Controleer regelmatig het CPU/GPU-gebruik via de Taakbeheer (Windows), Activiteitenmonitor (macOS), of commandoregeltools zoals top of htop (Linux/macOS). Abnormaal hoog en constant CPU/GPU-gebruik in afwezigheid van normale gebruikersactiviteit zou een rode vlag moeten opwerpen. |
| Webscript-blokkers | installeren browser-extensies zoals NoCoin, MinerBlock, Block Site of AntiMiner. Ze blokkeren de uitvoering van bekende webmijnscripts. Configureer browsers om JavaScript-scripts blokkeren standaard (voorzichtig, want dit kan de werking van bepaalde legitieme websites beïnvloeden). |
| Geavanceerde beveiligingsoplossingen | Gebruik antivirus en oplossingen EDR (Eindpunt Detectie en reactie) waaronder de detectie van mijnbouwprocessen en verdacht gedrag in verband met cryptojacking. Oplossingen zoals CrowdStrike, SentinelOne, Bitdefender GravityZone of Kaspersky Endpoint Security kan effectieve bescherming bieden. |
| Rigoureus patchbeheer | Systematisch beveiligingsupdates toepassen (patches) voor besturingssystemen, applicaties, webbrowsers en serversoftware. Een controle op kwetsbaarheid en snel bekende kwetsbaarheden te verhelpen. |
| Netwerkcontrole en -beveiliging | Netwerkverkeer analyseren identificeren verdachte gegevensstromen naar mijnbouwpools bekend. Monitor TCP-poorten die vaak door minderjarigen worden gebruikt (bijv. 3333, 4444, 3334, 7777, 8080). Instellen firewall en inbraakdetectie (IDS/IPS). |
| Bewustmaking en training | Gebruikers trainen de risico's van cryptojacking, besmettingsmethoden (phishing, gecompromitteerde websites) en goede beveiligingspraktijken (niet klikken op verdachte koppelingen, software up-to-date houden, enz.) |
| Cloudomgevingen beveiligen | Cloudomgevingen correct configureren (Docker, Kubernetes, virtuele instanties) door goede beveiligingspraktijken toe te passen (toegangsbeheerbeveiliging van gecontaineriseerde images, netwerkconfiguratie, enz.) |
Trends
- Evolutie naar edge mining en IoT : Cybercriminelen maken steeds vaker misbruik van IoT-apparaten (aangesloten bewakingscamera's, thuisrouters, slimme objecten). Deze apparaten zijn vaak onveilig en talrijk, en bieden een enorm potentieel voor gedistribueerde rekenkracht, hoewel elk individueel apparaat misschien niet erg krachtig is. Dit staat bekend als Edge Mining.
- Cryptojacking als dienst (CaaS) : Kant-en-klare diensten voor het lanceren van cryptojacking-campagnes worden aangeboden op het dark web, waardoor het voor minder technische cybercriminelen gemakkelijker wordt om toegang te krijgen tot deze activiteit.
- Convergentie met ransomware en afpersing : Er is een ctoename van bedreigingen. Hybride aanvallen combineren encryptie (ransomware) en gedwongen mijnbouw (cryptojacking). Aanvallers kunnen gegevens versleutelen om losgeld te eisen, maar daarnaast ook een miner installeren om hun winst te maximaliseren. In sommige gevallen wordt cryptojacking gebruikt als afpersingsmethode: de aanvallers dreigen de infectie te onthullen en schade te veroorzaken als het slachtoffer niet betaalt.
