Cryptojacking is het kwaadwillige gebruik van de computer van een slachtoffer om cryptovaluta te mijnen en is een groeiend probleem voor zowel individuele gebruikers als bedrijven. Het is goed mogelijk dat u hier nog nooit over gehoord hebt omdat cryptojacking – tot voor kort – een relatief beperkt probleem was. De afgelopen jaren komt de praktijk echter steeds meer voor.
Cryptojacking werkt vrij eenvoudig, maar dat betekent niet dat het makkelijk te detecteren of te voorkomen is. Bij deze aanvallen wordt een slachtoffer vaak misleid om op een schadelijke link in een e-mail te klikken die daarna cryptomining-code op zijn computer laadt – of wordt een online advertentie met JavaScript-code geïnfecteerd die wordt uitgevoerd via een browser.
Ongeacht de gebruikte methode wordt de cryptomining-code op de achtergrond uitgevoerd op de computer van het slachtoffer en genereert vervolgens winst voor de aanvaller. Voor de meeste gebruikers is de enige aanwijzing dat ze het slachtoffer zijn geworden van cryptojacking het feit dat hun computer iets trager werkt. Het is precies daarom dat deze aanvallen zo moeilijk te detecteren zijn.
De toenemende kosten van cryptojacking
Het is vrij moeilijk om de schaal van cryptojacking te beoordelen, onder andere omdat veel van de scripts die worden gebruikt om de computers van slachtoffers te kapen gebaseerd zijn op legitieme cryptomining-software. Er bestaat echter geen twijfel over dat de praktijk wijdverbreid is. Deze snelle groei is deels te wijten aan het feit dat cryptojacking technieken gebruikt die ontwikkeld zijn voor veel oudere aanvalsmethode: botnets. Sommige mechanismen voor cryptojacking maken inderdaad expliciet gebruik van botnets. De reden dat cryptojacking toeneemt is omdat het zo makkelijk te implementeren is. Het vertrouwt op aanvalsvectoren die in het verleden al werden gebruikt voor het leveren van ransomware of het bouwen van botnets, wat een succesvolle infectie garandeert die inkomsten genereert voor een aanvaller. Bij ransomware zijn criminelen afhankelijk van gebruikers die losgeld betalen, terwijl cryptojackingsoftware onopvallend op de achtergrond werkt en langzaam inkomsten genereert.
Hoe werkt het?
Er zijn in feite twee methodes om een cryptojacking-aanval uit te voeren en beide zijn te vergelijken met andere soorten aanvallen.
De eerste is een gebruiker misleiden om cryptominingsoftware op zijn computer te laden, zoals bij de recente BadShell-aanval – 'bestandsloze' malware waarvoor geen download vereist is. De technieken die hiervoor gebruikt worden, zijn vergelijkbaar met die gebruikt bij phishingaanvallen. Een veelgebruikte methode is gebruikers een echt uitziende e-mail sturen waarin ze worden aangemoedigd om op een link te klikken. Als een gebruiker dat doet, wordt een cryptominingscript op zijn computer geladen, dat op de achtergrond wordt uitgevoerd wanneer de computer aanstaat.
De tweede belangrijke methode is scripts gebruiken die zijn ingebed in websites om cryptominingsoftware uit te voeren in de browser van een slachtoffer. Het bekendste voorbeeld hiervan is het gebruik van JavaScript-advertenties. Door schadelijke code te integreren in de JS-scripts die hierachter schuilgaan, kan de browser van een gebruiker cryptovaluta genereren zonder dat de gebruiker zich hiervan bewust is.
De gevolgen van een infectie lijken misschien wel mee te vallen, maar dat is niet zo. Hoewel cryptojacking niet bedoeld is om gegevens te stelen of de computer van een slachtoffer te beschadigen, kan het worden gebruikt om schadelijke code te leveren die dat wel kan. Zelfs als het enige gevolg van een infectie een trager werkende computer van de gebruiker is, kunnen bedrijven aanzienlijke inkomsten verliezen bij het opsporen van prestatieproblemen, of zelfs het vervangen van componenten die beschadigd zijn door de eisen van cryptomining.
Hoe het te detecteren
Cryptojacking kan heel moeilijk te detecteren zijn, maar er zijn enkele duidelijke signalen die erop wijzen dat uw computer, of die van uw werknemers, geïnfecteerd is:
Vertrouw eerst en vooral niet op standaard antivirus- of scansoftware. Een van de factoren die cryptojacking zo moeilijk te detecteren maakt, is dat veel van de scripts die in deze aanvallen gebruikt worden in feite legitieme cryptominingscripts zijn – en dus niet gedetecteerd worden als malware door beveiligingssoftware op basis van handtekeningen.
Let in plaats daarvan op signalen dat uw systemen harder werken dan nodig is. Cryptovaluta mijnen vraagt veel van de CPU en dat maakt oververhitting een goede indicatie van een infectie. Als u in een bedrijfsomgeving werkt, kan dit zich manifesteren als een plotse piek in klachten van werknemers over slechte prestaties, of een merkbare stijging van CPU-uitval door oververhitting.
Machines die harder werken dan nodig kunnen uiteraard wijzen op verschillende soorten aanvallen, maar een plotse daling van de prestaties kan worden beschouwd als waarschuwing om een potentiële infectie te onderzoeken.
Hoe het te voorkomen
Omdat cryptojacking-aanvallen technieken gebruiken die vergelijkbaar zijn met de technieken gebruikt bij meer 'traditionele' soorten cybercriminaliteit, zou u al vertrouwd moeten zijn met de methodes om deze te voorkomen.
Let eerst en vooral op de gevaren van phishingaanvallen. Uw beveiligingstraining moet mensen bewust maken van hoe aanvallen eruitzien en vooral van de signalen die erop wijzen dat een aanvaller schadelijke code probeert te laden.
Omdat veel cryptojacking-aanvallen geïmplementeerd worden via de webbrowsers van gebruikers, moeten deze ook beter beveiligd worden. U kunt de beveiliging van uw webbrowser heel eenvoudig verbeteren. Gebruik een webbrowser met beveiligingsfuncties en gebruik een goede advertentieblokker om mogelijk schadelijke scripts uit te schakelen. U kunt de beveiliging van uw webbrowser ook verbeteren door een kwaliteitsvolle VPN te gebruiken. Daarnaast zijn er verschillende add-ons beschikbaar die specifiek zijn ontworpen voor het detecteren en blokkeren van cryptominingscripts.
Bovendien vertrouwt een succesvolle beveiliging tegen cryptojacking op technieken die gebruikt worden om andere aanvalsvormen te voorkomen. Als uw werknemers hun eigen apparaten mee naar het werk brengen, kan dit ook een bron van infectie zijn wanneer deze apparaten dezelfde netwerken gebruiken of verbonden zijn met interne systemen. In dat geval moet u met behulp van managementsoftware beheren wat er op deze mobiele apparaten staat. Het belangrijkste is dat u de software up-to-date houdt, inclusief browserextensies en de apps op mobiele apparaten.
Conclusie
Hoewel de gevolgen van pure cryptojacking-aanvallen beperkt kunnen zijn tot slechtere prestaties, betekent dat niet dat ze geen problemen veroorzaken. Het slachtoffer worden van een cryptojacking-aanval zou een waarschuwingsteken moeten zijn: als een aanvaller erin slaagt om schadelijke code op uw computers (of die van uw werknemers) te laden, is dat een teken dat uw beveiliging niet sterk genoeg is.
Nuttige links:
Lees meer over belangrijke oplossingen die uw bedrijf helpen om aanvallers een stap voor te blijven:
https://www.globalsign.com/nl-nl/grote-bedrijven/
https://www.globalsign.com/nl-nl/beveiligde-email/
https://www.globalsign.com/nl-nl/managed-pki/
Ontdek de uitdagingen van het beveiligingslandschap – en hoe uw bedrijf zich kan beschermen:
https://www.globalsign.com/nl-nl/company/blog/articles/hoe-herken-je-een-phishingwebsite/
https://www.globalsign.com/nl-nl/company/blog/articles/een-phishingsimulatietest-uitvoeren/
Over de auteur
Sam Bocetta is een freelancejournalist en is gespecialiseerd in diplomatie en nationale veiligheid in de VS, met de nadruk op technologische trends op het vlak van cyberoorlog, cyberdefensie en cryptografie. U vindt zijn site hier.