Die öffentliche Bedrohung durch Krypto-Mining nimmt scheinbar täglich zu. Im letzten Fall wurde festgestellt, dass ein Krypto-Miner, genannt “PowerGhost”, Server ganzer Unternehmen infiziert hat, die riesige Mengen an Energie extrahieren, um illegal Kryptowährungen zu schürfen.
Miner bedroht Unternehmen
Wie auf der SecureList am 26. Juli 2018 erwähnt, enthüllte Kaspersky Labs das Vorhandensein einer neuen Miner-Malware, nachdem ihre globalen Softwaresysteme über mehrere Clients hinweg Sicherheitsalarme ausgelöst hatten. Unter dem Namen “PowerGhost” soll sich der Miner heimlich auf einem PC installiert haben und sich über Workstation-Server in Unternehmen verteilen, um ihre Computerressourcen für den Abbau von Kryptowährungen zu gewinnen.
Hacker, die Mining-Software einsetzen, werden immer raffinierter und setzen verschiedene Taktiken ein. Dazu gehören das Ausführen zusätzlicher Software, um die Geschwindigkeit der CPU-Lüfter zu verlangsamen und das Abschalten der Mining-Software während der “aktiven” Stunden eines Benutzers sowie die künstliche Anzeige des “niedrigen” Stromverbrauchs zu fälschen. All dies hilft illegaler Mining-Software, unbemerkt zu bleiben, was im Laufe der Zeit zu mehr Gewinnen führt. Interessanterweise ersetzt ein solcher illegaler Miner bzw. “Cryptojacking”, angeblich traditionelle Cyber-Lösegeld Forderungen.
Stealth-Modus – Unsichtbar unterwegs
In der “PowerGhost”-Instanz setzten Hacker eine “dateilose Technik” ein, indem sie Malware über eine “saubere” Software auslieferten, die außerhalb des Zuständigkeitsbereichs und des Verdachts der Systemadministratoren liegt.
PowerGhost verwendete ein Script, um den Basiscode zu liefern, der die Operationsbibliotheken msvcp120.dll und msvcr120.dll sowie einen schützenden “Shell”-Code zum Verstecken des Exploits enthält.
Es wurde festgestellt, dass das Programm mehrere Techniken verwendet, um von den Anwendern und der Antivirensoftware unentdeckt zu bleiben. Insbesondere wurde der Virus durch Remote-Administrationstools wie Windows Management Instrumentation infiziert. Für den Infektionsprozess lud das laufende PowerShell-Script automatisch den Mining-Code herunter.
DDoS-Angriffe und betroffene Länder
Unter den mehreren entdeckten PowerGhost-Instanzen bemerkte Kaspersky zusätzlich DDoS-Codes in einigen Versionen. Obwohl der Angriff sowohl auf Einzelpersonen als auch auf Unternehmen ausgerichtet war, erleichterte er somit die Verbreitung innerhalb des lokalen Netzwerks eines Unternehmens.
Ich erinnere mich noch an einen Fall als die Online-Community ESEA einen versteckten Miner in ihrem Clienten verbaut hatte. Wurden letztlich erwischt und haben angeblich den gesamten, erwirtschafteten Betrag gespendet. Aber trotzdem: man sieht, dass man da niemandem vertrauen kann. Wenn das intelligent gemacht wird, sagen wir mit 1% der verfügbaren Rechenleistung, merken das Otto Normalverbraucher sowieso nicht. Ganz schön dreist.