Cryptojacking uitgelegd

Delen
Cryptojacking uitgelegd
Luister naar het artikel
00:00 / 00:00

Cryptojacking is een kwaadaardige activiteit waarbij een geïnfecteerd apparaat wordt gebruikt om in het geheim cryptovaluta te minen. Om dat te doen, maakt de aanvaller gebruik van de rekenkracht en bandbreedte van het slachtoffer (in de meeste gevallen zonder hun medeweten of toestemming). Over het algemeen is de malware die hiervoor wordt gebruikt zo gebouwd dat deze zo lang mogelijk ongedetecteerd te werk kan gaan. Omdat er per apparaat daarom niet veel rekenkracht kan worden gestolen en het minen van cryptovaluta veel rekenkracht vereist, proberen aanvallers in meerdere apparaten in te breken. Op die manier kunnen ze genoeg rekenkracht combineren om tegen lage kosten cryptovaluta te minen, zonder veel risico op ontdekking te lopen. 

Vroege versies van dit soort malware vereisten dat de slachtoffers op malafide links of e-mailbijlagen openden, waardoor hun systeem zonder hun medeweten met een verborgen cryptominer werd geïnfecteerd. Sindsdien is er echter veel veranderd en is cryptojacking veel geavanceerder geworden. Tegenwoordig wordt de meeste mining-malware uitgevoerd via scripts die op websites zijn geïmplementeerd. Dit wordt ook wel web-based cryptojacking genoemd.


Web-based cryptojacking 

Web-based cryptojacking (of drive-by cryptomining) is de meest voorkomende vorm van cryptomining-malware. Deze malafide activiteit wordt vaak uitgevoerd via scripts die actief zijn op een website, waardoor de webbrowser van het slachtoffer automatisch begint en bezig blijft met het minen van cryptovaluta zolang de website open is. Zulke web-based miners worden vaak in het geheim op een website geïmplementeerd, onafhankelijk van de inhoud of hoe populair de website is. Vaak wordt er gekozen voor het minen van Monero omdat deze cryptovaluta weinig rekenkracht vereist, in tegenstelling tot bijvoorbeeld Bitcoin. Daarnaast biedt Monero meer waarborgen voor privacy en anonimiteit waardoor het moeilijker is om transacties te volgen.

In tegenstelling tot ransomware kaapt cryptomining-malware de computer en opgeslagen gegevens niet. Het meest merkbare effect van cryptojacking is dat de CPU van de computer plotseling veel minder goed presteert (wat vaak gepaard gaat met blazende ventilatoren). Voor bedrijven en grotere organisaties kan het gebrek aan beschikbare rekenkracht echter negatieve gevolgen hebben en mogelijk zelfs tot aanzienlijke verliezen en gemiste kansen leiden.


CoinHive

Deze web-based vorm van cryptojacking werd voor het eerst gezien in september 2017, toen een cryptominer genaamd CoinHive officieel op de markt kwam. CoinHive is een cryptominer op basis van JavaScript en had oorspronkelijk een nobel doel, namelijk de eigenaren van websites in staat stellen deze gratis aan te bieden zonder op advertenties te hoeven leunen om hun kosten te betalen en geld te verdienen.

CoinHive werkt met alle grote browsers en is relatief eenvoudig te installeren. De ontwikkelaars houden 30% van alle cryptovaluta die met hun software is gemined, terwijl de andere 70% middels cryptografische sleutels wordt uitgekeerd aan de eigenaar van de website. 

Dat was althans de bedoeling. Hoewel CoinHive in eerste instantie als een interessante ontwikkeling werd gezien, ontvingen de makers veel kritiek omdat hun miner door criminelen werd geïnstalleerd op gehackte websites (zonder medeweten of toestemming van de eigenaar). Natuurlijk waren het ook de criminelen die 70% van de opbrengsten ontvingen.

In die gevallen waarbij CoinHive daadwerkelijk met goede bedoelingen wordt ingezet, wordt de JavaScript-code van het programma gepresenteerd als een opt-in-mogelijkheid genaamd AuthedMine. In feite is dit precies hetzelfde programma als CoinHive, met als enige verschil dat de bezoeker van de website vooraf wordt gevraagd of er gemined mag worden. 

Het mag geen verrassing zijn dat AuthedMine niet met hetzelfde enthousiasme als CoinHive wordt gebruikt. Een snelle zoektocht op PublicWWW laat zien dat ten minste 14.900 websites gebruik maken van CoinHive (waarvan 5.700 WordPress-websites). AuthedMine wordt daarentegen door maar ongeveer 1.250 websites gebruikt.

Tijdens de eerste helft van 2018 werd CoinHive door vrijwel alle antivirusprogramma's en cybersecurity-bedrijven gezien als de nummer-één malware-bedreiging. Recent onderzoek lijkt er echter op te wijzen dat cryptojacking niet langer de meest gevaarlijke vorm van malware is en deze titel heeft moeten afstaan aan ransomware en trojans gericht op het onderscheppen van betalingsverkeer. 

De snelle opkomst en ondergang van cryptojacking kan voor een groot deel worden toegeschreven aan het werk van cybersecurity-bedrijven. De meeste cryptojacking-code staat inmiddels op een zwarte lijst en wordt vrijwel ogenblikkelijk gedetecteerd door zo goed als alle antivirussoftware. Daarnaast suggereren recente analyses dat web-based cryptojacking niet zo winstgevend is als vaak wordt gedacht.


Voorbeelden van cryptojacking

In december 2017 kwam een klant erachter dat de code van CoinHive stilletjes geïmplementeerd was in de wifi-netwerken van meerdere Starbucks-vestigingen in Buenos Aires. Het script liet ieder apparaat dat met deze wifi-netwerken was verbonden Monero minen.

Begin 2018 bleek ook dat de CoinHive-miner actief was op YouTube middels DoubleClick, het advertentieplatform van Google.

In juli en augustus 2018 infecteerde een cryptojacking-aanval meer dan 200.000 routers van MikroTik in Brazilië, waardoor de code van CoinHive werd geïnjecteerd in een gigantische hoeveelheid internetverkeer.


Hoe is cryptojacking te herkennen en te voorkomen?

Vermoed je dat je CPU meer werk doet dan normaal of maken de ventilatoren van je computer veel lawaai zonder aantoonbare reden, dan bestaat de kans dat je zonder dat je het weet cryptovaluta aan het minen bent. Het is belangrijk om vast te stellen of je computer is geïnfecteerd of dat de cryptojacking plaatsvindt via je webbrowser. Het is namelijk relatief eenvoudig om web-based cryptojacking te ontdekken en te beëindigen, maar hetzelfde geldt over het algemeen niet voor malware die je computer of netwerk heeft geïnfecteerd. Deze programma's zijn namelijk geschreven om zo onherkenbaar mogelijk te blijven.

Er bestaan browserextensies die de meeste web-based cryptojacking-aanvallen effectief kunnen voorkomen. De werking van deze extensies is echter beperkt tot web-based miners die worden geblokkeerd op basis van een zwarte lijst. Deze lijst kan snel verouderd raken wanneer nieuwe cryptojacking-methodes worden geïntroduceerd. Het is daarom aan te bevelen om het besturingssysteem van je computer altijd te updaten en gebruik te maken van goede antivirussoftware.

Voor bedrijven en grotere organisaties is het belangrijk om hun medewerkers te informeren over de gevaren van cryptojacking en phishing-technieken zoals frauduleuze e-mails en nagemaakte websites.

Samengevat:

  • Let op de prestaties van je apparaat en de CPU-activiteit;

  • Installeer een browserextensie zoals MinerBlock, NoCoin of Adblocker;

  • Weest voorzichtig bij het openen van e-mailbijlagen en verdachte links;

  • Maak gebruik van betrouwbare antivirussoftware en houd je besturingssysteem up-to-date;

  • Voor bedrijven: informeer medewerkers over cryptojacking en phishing-technieken.

Loading