Wenn man einem Blogbeitrag des Sicherheitsunternehmens Trend Micro vom 20. Februar Glauben schenken darf, befindet sich seit Ende Januar eine neue Mining-Schadsoftware im Umlauf. Besonders bedroht sind laut Blogbeitrag Nutzer von Windows-Plattformen. Beim Angriff sucht die Schadsoftware eine Schwachstelle des offenen Ports 445 und nutzt den sicherheitsanfälligen Patch MS17-010 (Patch für 2017) für Infektions- und Ausbreitungsroutinen. MIMIKATZ und RADMIN generieren eine scheinbar gültige Windows-Funktion, welche unbemerkt Daten überträgt und Zugriff auf die Systemressourcen erlangt. Ziel des Hacker-Tools ist es, eine Remoteverbindung zu erstellen, welche den Angreifer auf das System zugreifen lässt, um mit den Systemressourcen die Kryptowährung Monero zu minen.

Wie funktioniert die Mining-Malware?

Die Hacker benutzen bei einem Angriff die Rechenleistung der befallenen Geräte, um Krypto-Mining zu betreiben. Wie bei der Monero-Malware werden durch den Missbrauch von Rechenpower neue Blöcke generiert, um diese in die Monero-Blockchain einzubauen. Der kriminelle Ansatz des schädlichen bzw. unautorisierten Monero-Minings vermeidet einige Nachteile, die z. B. Trojaner wie Ransomware haben. Beim unautorisierten Mining muss das Opfer beispielsweise nicht mehr über den Angriff informiert werden, um das Lösegeld zu bezahlen. Auf diese Weise kann ein Angriff auf das System unbemerkt und auf unbestimmte Zeit weiterlaufen. Die Technik maskiert ihre Aktivitäten unter zufällig benannten Dateien und scheinbar gültigen Funktionen. Dadurch belastet die Malware die CPU- und GPU-Ressourcen. Ein Befall der Hardware führt dann wiederum dazu, dass Systeme ungewöhnlich langsam laufen.

Kriminelle können mit dieser Methode statt einer einmaligen Lösegeldzahlung über einen langen Zeitraum Kryptowährungen schürfen, ohne dass das Opfer Verdacht schöpft. Betroffene haben indes keine Wahl. Wer den Angriff nicht mitbekommt, zahlt, ob er will oder nicht. Cyberkriminelle bestimmen beim Angriff selbst, wie viel Geld sie generieren möchten. Laut Microsoft gibt es derzeit unter anderem die Möglichkeit, die Mining-Schutzfunktion des Defenders in InTune zu aktivieren oder Windows PowerShell zu nutzen.

Ausblick

Indes ist der Schaden für betroffene Systeme groß. Zwar erfolgt der Ressourcendiebstahl meistens völlig unbemerkt; die Auswirkungen des Angriffs sind für Betroffene hingegen langfristig spürbar. Hohe Stromkosten und ein zunehmender Verschleiß der Hardware können die Folge sein und den Geldbeutel der Opfer belasten. Derweil garantiert die Anonymität vieler Kryptowährungen wie Monero Cyberkriminellen eine optimale Geschäftsgrundlage. Endverbraucher und Unternehmen sollten daher zukünftig darauf achten, regelmäßig Patches von seriösen Anbietern herunterzuladen und ein mehrschichtiges Schutzsystem zu installieren. Laut einer Untersuchung des Cybersecurity-Team von Palo Alto Networks sind derzeit etwa rund fünf Prozent der gesamten im Umlauf befindlichen XMR durch Schadsoftware gemint worden. Mag man dem Bericht Glauben schenken, sind akruell rund 841.000 geminte Monero im Wert von etwa 44 Millionen US-Dollar auf den Einsatz illegaler Schadsoftware zurückzuführen.