Das „Schürfen“ von Kryptowährungen, also das Generieren neuer Währungseinheiten und die Validierung von Transaktionen auf der Blockchain, ist mit einem beträchtlichen technischen Aufwand verbunden. Um die komplexen Rechenoperationen mit der erforderlichen Geschwindigkeit, der sogenannten Hashrate, durchführen zu können, wird die dafür eingesetzte Hardware (leistungsfähige CPUs, GPUs oder spezialisierte ASIC-Boards) entweder in einem einzelnen lokalen „Mining Rig“ gebündelt, zu einem Pool verbunden oder findet zentralisiert in der Cloud statt. Der hohe Rechenaufwand stellt jedoch nicht die einzige Hürde dar: Ein sehr großer Anteil der durch die Schürftätigkeit erzielbaren Einnahmen wird durch den enormen Stromverbrauch bei gleichzeitig rapide steigenden Energiekosten wieder kannibalisiert.
„Cryptojacking“ löst dieses Problem auf ganz eigene Weise: Angreifer missbrauchen dabei mithilfe gezielt entwickelter und über unterschiedliche Wege verbreiteter Mining-Malware einfach die Computer und Mobilgeräte ahnungsloser anderer Nutzer. Der Profit bleibt bei den Cyberkriminellen, die Kosten tragen die Opfer.
Eine leider besonders erfolgreiche Kampagne dieser Art wurde jetzt publik. Über populäre Seiten wie Softpedia wurden in nach jetzigem Kenntnisstand in elf Ländern Übersetzungs- oder Musik-Apps zum Download angeboten, die neben ihrem erwünschten Einsatzzweck vor allem eine Aufgabe hatten: Die schrittweise Installation eines sehr gut versteckten Monero-Kryptominers, der erst nach rund einem Monat nach dem Download seine volle Tätigkeit aufnahm. Durch diese Verzögerungstaktik gelang es den Kriminellen, eine Erkennung durch viele herkömmliche AV-Lösungen zu vermeiden und so einen im Verborgenen agierenden, für sie hochprofitablen illegalen Mining-Pool auf Kosten zahlloser geschädigter Anwender zu etablieren.
Was hilft? Automatischer Echtzeitschutz!
Durch Acronis Cyber Protect geschützte Systeme wurden jedoch nicht Bestandteil dieses Pools: Aufgrund der Fähigkeiten von Cyber Protect, jedwede Abweichungen von legitimen Verhaltensmustern umgehend erfassen, konnte die Ausführung der Malware wirkungsvoll unterbunden werden. Der Vorteil dieses verhaltensbasierten Ansatzes: Sich ständig weiterentwickelnde Angriffstechniken müssen nicht immer wieder aufs Neue identifiziert werden, sondern können wie im vorliegenden Fall einer sehr komplex aufgebauten Kryptomining-Malware in Echtzeit gestoppt werden.