What Is Cryptojacking?

Cryptojacking is a type of cyberattack in which a cybercriminal hijacks a computer or mobile device and uses its processing power to mine cryptocurrency such as bitcoin. Cryptojacking malware is difficult to detect but can have serious consequences for organizations, such as performance slowdown, increased electricity costs, and hardware damage from overheating.

How Does Cryptojacking Work?

Cryptojacking uses malware or malicious code to commandeer the processing power of victims’ devices (laptops, desktop computers, smartphones, etc.) for use in cryptocurrency mining. Let’s look at how a cryptojacking attack progresses. Delivery/Infection: Attackers most often get cryptomining code running on a victim's device, through social engineering scams such as phishing , malicious webpages, and so on. Websites and cloud services compromised with cryptomining code can silently siphon users’ computing power while they remain connected. Execution: Cryptomining scripts run on a compromised device, using its CPU or GPU to solve difficult cryptographic puzzles. The device often becomes part of a botnet that combines the computational power of many infected endpoints to give the miner an edge in the blockchain race. Profit: The miner whose computational efforts (legitimately their own or not) solve the cryptographic puzzle first receives the “block reward,” an allotment of cryptocurrency sent to their digital wallet. Victims of cryptojacking, meanwhile, get none of the reward—and end up indirectly paying for it.

What Is Cryptocurrency?

Cryptocurrency is a digital currency built on a decentralized digital ledger called blockchain, on which all transactions are cryptographically linked, making it highly stable and secure. While it has many legitimate uses, hackers value cryptocurrency because it can be transacted without the use of a real identity.

What Are the Sources of Cryptojacking Malware?

Cryptojacking malware is much like other types of malware in terms of where it can appear in the wild. Most of the time, it can be found in connection with: Compromised websites, plugins, or browser extensions injected with malicious code Browser-based or “drive-by” mining on websites that aren’t otherwise inherently malicious Malicious downloads disguised as benign software , especially free apps or torrents Phishing emails containing infected attachments or leading to malicious websites Malicious ads containing cryptojacking scripts that run when the ad is clicked or viewed

What Does Cryptojacking Malware Mean for Your Business?

At an organizational level, the daily cost of cryptojacking may not raise many eyebrows. However, it can quickly add up to hundreds or even thousands of dollars per month, to say nothing of the potential for: Degraded system performance , which can frustrate and slow down your users, impacting productivity Higher energy bills and usage , which can hurt your bottom line and work against environmental goals Damage to computing hardware , which can create unforeseen costs in maintenance and replacement

What are Real-World Cryptojacking Examples?

Smominru Botnet: Since 2017, Smominru has infected hundreds of thousands of Microsoft Windows systems worldwide to mine Monero cryptocurrency. It spreads by brute-forcing RDP credentials and exploiting software vulnerabilities, and can even execute ransomware, trojans, and more on compromised systems. The Pirate Bay: In 2018, P2P file-sharing site The Pirate Bay was found to be running JavaScript code created by the now-defunct cryptomining service Coinhive. The cryptojacking script executed without users’ consent—and with no way to opt out—while they browsed the site, using their compute power to mine Monero. Graboid: First discovered in 2019, Graboid is a worm that exploits unsecured (i.e., exposed to the internet) Docker containers. It spreads from compromised hosts to other containers in their networks, where it hijacks the resources of its infected systems to mine Monero. Open Source Image Libraries: Beginning around 2021, researchers saw a spike in the number of cryptojacking images in open source repositories like Docker Hub. As of late 2022, the most common feature among malicious images was cryptojacking code (Google Cloud Cybersecurity Action Team, 2023).

What are Signs You Could Be a Victim of Cryptojacking?

Cryptojacking attacks keep a low profile to prolong their unauthorized use of your system, but if you know what to look for, you might be able to identify their activities before the cost to you or your organization gets too high. During mining operations, might notice: Performance issues such as slowdown, freezing, crashing, or higher operating temperatures High CPU/GPU utilization even with very little running (check Windows Task Manager or macOS Activity Monitor) High or spiking energy usage with no apparent legitimate cause Unusual network traffic such as frequent outbound communications or large data transfers to unfamiliar locations Unfamiliar or suspicious processes hiding among a system’s legitimate background processes

How Can You Detect and Prevent Cryptojacking?

Beyond the common warning signs, you can put some simple technologies and strategies in place to help prevent cryptojacking attacks from dwelling in your environment—or stop them before they even take hold. Educate users and teams about the warning signs. Users may not report issues like poor performance if they don’t understand what it could indicate. For IT, help desk, and NetOps staff, evidence of unauthorized mining processes is an important thing to factor in while investigating and responding to reports. Find hidden evidence with proactive threat hunting. The clearest signs of cryptojacking activity might not play out where your users can see them. Skilled security personnel or dedicated threat hunters can work to identify and investigate behavioral anomalies and other subtle indicators of cryptojacking compromise. Use effective tools to monitor and block cryptomining traffic. The best way to stop cryptojacking is to keep it from starting in the first place. To do that, you need a solution that ensures every packet from every user, on or off-network, gets fully inspected from start to finish, with unlimited capacity to inspect TLS/SSL. Zscaler can help.

How does cryptojacking differ from other types of cyberattacks?

Cryptojacking is a unique cyberattack where attackers covertly use a victim’s computing resources to mine cryptocurrency. It differs from other cyberattacks in several key ways: Key Differences: Purpose : Cryptojacking focuses on hijacking computing power to mine cryptocurrency, unlike ransomware or phishing, which aim to steal data or extort money. It does not directly harm or encrypt data but drains system performance and resources. Stealthy Nature : Often operates in the background without the victim realizing, making it harder to detect than overt attacks like ransomware. Attackers prioritize prolonged usage rather than immediate financial gain through extortion or theft. No Direct Interaction : Unlike phishing, which manipulates victims into acting, cryptojacking exploits vulnerabilities to install scripts silently. Impact on Systems : Causes performance degradation, overheating, higher energy consumption, and increased hardware wear, rather than compromising data integrity. Delivery Method : Often spread via malicious websites, compromised plugins, or infected software, as opposed to phishing emails or brute-force attacks.

Zpedia

/ Was ist Kryptojacking?

Was ist Kryptojacking?

Kryptojacking ist ein Cyberangriff, bei dem Cyberkriminelle Computer oder Mobilgeräte kapern, um mit deren Rechenleistung Kryptowährungen wie Bitcoin zu gewinnen. Kryptojacking-Malware ist schwer zu entlarven, kann jedoch gravierende Folgen für Unternehmen haben. Dazu zählen insbesondere Leistungseinbußen, erhöhte Stromkosten und überhitzungsbedingte Hardwareschäden.

Weitere Informationen zum Schutz vor komplexen Bedrohungen Infos zu Zscaler Internet Access

Schutz vor Cyberbedrohungen SecOps und Endpoint Security

Funktionsweise
Praxisbeispiele
Zeichen für einen Angriff
Erkennung und Prävention
Schutz durch Zscaler
Empfohlene Ressourcen
FAQs
Ähnliche Themen

Wie funktioniert Kryptojacking?

Beim Kryptojacking wird Malware oder Schadcode verwendet, um die Rechenleistung der angegriffenen Geräte (Laptops, Desktop-Computer, Smartphones usw.) für das Kryptomining einzuspannen.

Und so läuft Kryptojacking ab:

Übertragung/Infektion: Angreifer nutzen meist Social-Engineering-Verfahren wie Phishing oder bösartige Websites, um Kryptomining-Code auf fremden Geräten auszuführen. Kompromittierte Websites und Cloud-Services können dann unbemerkt Rechenleistung abgreifen.
Ausführung: Kryptomining-Skripte werden auf einem kompromittierten Gerät ausgeführt und nutzen dessen CPU bzw. GPU, um komplizierte kryptografische Rätsel zu lösen. Das Gerät wird dabei häufig in ein Botnet eingegliedert, das die Rechenleistung zahlreicher infizierter Endgeräte miteinander kombiniert, um dem Miner einen Vorteil zu verschaffen.
Gewinn: Der Miner, der mit seiner (gekaperten) Rechenleistung das kryptografische Rätsel zuerst löst, erhält eine Belohnung in Form von Kryptowährung. Die Kryptojacking-Opfer gehen dagegen leer aus – und tragen sogar indirekt die Kosten.

Anders als offensichtliche Ransomware wird Kryptojacking-Software so unauffällig wie möglich ausgeführt, um Angriffsdauer und Gewinnspanne zu erhöhen. Mitunter werden Verschlüsselungs- und Antianalysetechniken verwendet, um Sicherheitsmechanismen zu umgehen oder die CPU-Auslastung je nach Useraktivität zu drosseln und keinen Verdacht zu erregen.

Was sind Kryptowährungen?

Kryptowährungen sind digitale Währungen, die auf einem dezentralen digitalen Hauptbuch namens Blockchain basieren, in dem zu Nachweiszwecken alle Transaktionen kryptografisch erfasst werden. Zwar gibt es auch viele legitime Verwendungszwecke für diese Technologie; Hacker schätzen Kryptowährungen aber vor allem, weil sie auch ohne Identitätsnachweis verwendet werden können.
Kryptowährung entsteht durch das sogenannte Kryptomining. Dabei werden große Mengen an Rechenressourcen genutzt, um komplexe mathematische Probleme zu lösen, Blockchain-Transaktionen zu validieren und neue Blöcke zu erstellen. Wird eine Lösung gefunden, erhält der verantwortliche Miner im Gegenzug einen Anteil der gewonnenen Kryptowährung.

Woher kommt Kryptojacking-Malware?

Kryptojacking-Malware kommt an ähnlichen Stellen wie andere Malware vor. Meistens findet man sie im Zusammenhang mit:

Kompromittierten Websites, Plug-ins oder Browsererweiterungen, die mit Schadcode durchsetzt sind
Browserbasiertem „Drive-by“-Mining auf eigentlich harmlosen Websites
Bösartigen Downloads, die sich als harmlose Software tarnen und insbesondere kostenlose Apps und Torrents betreffen
Phishing-Mails, die infizierte Anhänge enthalten oder auf bösartige Websites verweisen
Bösartige Werbung mit Kryptojacking-Skripten, die ausgeführt werden, wenn man sie anklickt bzw. aufruft

Die wichtigsten Einfallstore für Kryptojacking

Laut Zscaler-Recherchen sind Inhalte für Erwachsene, Streaming-Medien und Unternehmensseiten die wichtigsten Einfallstore für Kryptojacking-Malware.

Zum Blog

Was bedeutet Kryptojacking-Malware für Ihr Unternehmen?

Aus unternehmerischer Sicht sind die täglichen Kosten für Kryptojacking zu vernachlässigen. Sie können sich aber schnell auf drei- oder vierstellige monatliche Beträge summieren − und bergen noch viele weitere Gefahren:

Verminderte Systemleistung, die die User frustriert und die Produktivität beeinträchtigt
Höherer Stromverbrauch und Stromkosten, die das Geschäftsergebnis negativ beeinflussen und Umweltzielen zuwiderlaufen
Hardwareschäden, die zu ungeplanten Kosten hinsichtlich Wartung und Ersatz führen können

Beispiele für Kryptojacking

Trotz der Risiken hat bislang kein Kryptojacking-Angriff die Bekanntheit von Angriffen auf Lieferketten und Ransomware wie WannaCry oder dem Hackerangriff auf SolarWinds erreicht. Denn anders als diese sind sie eher unauffällig, aber nicht minder gefährlich. Hier einige Beispiele:

Smominru-Botnet:
Smominru hat seit 2017 weltweit hunderttausende Windows-Systeme infiziert, um die Kryptowährung Monero zu schürfen. Es verbreitet sich, indem es RDP-Anmeldeinformationen erzwingt und Software-Schwachstellen ausnutzt und kann sogar u. a. Ransomware und Trojaner auf den kompromittierten Systemen ausführen.

The Pirate Bay
: Mindestens seit 2018 wurde auf der Filesharing-Seite The Pirate Bay JavaScript-Code von dem inzwischen eingestellten Mining-Dienst Coinhive ausgeführt. Das Kryptojacking-Skript wurde ohne Zustimmung der User – und ohne Widerspruchsmöglichkeit – ausgeführt, solange diese auf der Website unterwegs waren. Die gekaperte Rechenleistung wurde für die Gewinnung von Monero eingesetzt.

Graboid
: Graboid wurde 2019 entdeckt und ist ein Wurm, der ungeschützte (also dem Internet ausgesetzte) Docker-Container ausnutzt. Er breitet sich von kompromittierten Hosts auf andere Container und deren Netzwerke aus und kapert dort Ressourcen, um Monero zu schürfen.

Open-Source-Bildbibliotheken
: Ab etwa 2021 kam es zu einem Anstieg an Kryptojacking-Bildern in Open-Source-Repositorys wie Docker Hub. Ende 2022 war Kryptojacking-Code dann das häufigste Merkmal schadhafter Bilder (Google Cloud Cybersecurity Action Team, 2023).

Warum ist Monero so beliebt?

Monero ist bei Cyberkriminellen beliebt, weil die Transaktionen hier anonym sind − anders als bei Währungen mit transparenten Hauptbüchern wie Bitcoin.

Symptome von Kryptojacking

Kryptojacking-Angriffe halten sich im Hintergrund, um unerkannt zu bleiben. Wer aber weiß, wonach er suchen muss, kann sie entlarven, bevor die Kosten zu hoch werden. Mögliche Anzeichen für Mining-Aktivitäten sind dabei:

Performanceprobleme wie Verlangsamung, Hängenbleiben, Abstürze oder eine erhöhte Betriebstemperatur
Hohe CPU/GPU-Auslastung auch bei geringer Beanspruchung (siehe Task-Manager bzw. Aktivitätsanzeige)
Hoher oder ohne ersichtlichen Grund sprunghaft ansteigender Energieverbrauch
Ungewöhnlicher Netzwerktraffic wie eine starke ausgehende Kommunikation oder umfangreiche Datenübertragungen mit unbekanntem Bestimmungsort
Unerklärliche bzw. verdächtige Prozesse, die sich in den gewöhnlichen Hintergrundprozessen verstecken

Gegenmaßnahmen

Kryptojacking-Malware kann ihre Codestruktur verändern, Anti-Analyse- und dateilose Verfahren einsetzen und eine dezentrale Befehls- und Kontrollinfrastruktur nutzen, um sich gängigen Tools wie Antivirenprogrammen zu entziehen.

Wie lässt sich Kryptojacking erkennen und verhindern?

Abgesehen von den üblichen Warnzeichen lassen sich Kryptojacking-Angriffe aber mit einigen einfachen Verfahren verhindern bzw. abwehren.

User und Teams für Warnzeichen sensibilisieren: User melden Probleme wie Leistungsmängel seltener, wenn sie deren mögliche Tragweite nicht kennen. IT, Helpdesk und NetOps müssen Hinweise auf unbefugtes Kryptomining bei der näheren Prüfung derartiger Meldungen berücksichtigen.
Indizien durch aktives Suchen finden: Die deutlichsten Anzeichen für Kryptojacking treten nicht unbedingt dort auf, wo sie für die User sichtbar sind. Sicherheits- und Ermittlerteams können aber nach Verhaltensänderungen und anderen subtilen Hinweisen auf Kryptojacking fahnden und diesen ggf. nachgehen.
Effektive Tools gegen Kryptomining verwenden: Das beste Mittel gegen Kryptojacking ist, solche Bedrohungen von Anfang an zu verhindern. Dazu muss sichergestellt werden, dass sämtliche Pakete von Usern innerhalb wie außerhalb des Netzwerks durchgehend überprüft werden − und zwar mit unbegrenzter TLS/SSL-Prüfkapazität. Mit Zscaler kein Problem!

Zscaler Cryptojacking Protection

Zscaler Internet Access™ (ZIA™) ist eine Kernkomponente der cloudnativen Zscaler Zero Trust Exchange und bietet mit Advanced Threat Protection KI-gestützten Schutz vor Kryptojacking, Ransomware, Zero-Day-Angriffen und Malware.

Mit vorkonfigurierten ZIA-Richtlinien, die ab der ersten Bereitstellung angewendet werden, können Sie Kryptomining-Traffic automatisch blockieren und optional Warnungen anzeigen lassen. ZIA kann über die Zero Trust Exchange selbst verschlüsselten Kryptomining-Traffic erkennen.

Der ZIA-Vorteil:

Umfassende Inline-Prävention: Eine Inline-Proxy-Architektur ist die einzige zuverlässige Möglichkeit, verdächtige Inhalte und Angriffsversuche unter Quarantäne zu stellen und zu blockieren.
Inline-Sandbox und ML: Zscaler Sandbox nutzt integriertes ML für erweiterte Analysen und unterbindet so auch neue und schwer erkennbare dateibasierte Angriffe.
Durchgehende SSL-Überprüfung: Die SSL-Überprüfung mit einer globalen Plattform ist flexibel skalierbar und behält die User innerhalb wie auch außerhalb des Netzwerks im Blick.
Zscaler-Cloud: Die weltgrößte Security Cloud kommuniziert auf Grundlage von täglich über 300 Mrd. Transaktionen und Bedrohungsdaten Schutzmaßnahmen in Echtzeit.

Zscaler Internet Access bietet permanenten Schutz vor Kryptojacking und anderen Cyberangriffen.

Demo anfordern Weitere Informationen zu ZIA

Empfohlene Ressourcen

Cloud Connector und Kryptojacking

Zum Blog

Kryptomining ist eine ständige Herausforderung für Unternehmen

Zum Blog

Zscaler-Sandbox

Zum Datenblatt

Häufig gestellte Fragen

Kryptojacking ist für Privatpersonen und Unternehmen ein echtes Problem, da es Rechnerressourcen kapert und zu entsprechenden Stromkosten, Leistungseinbußen und Geräteschäden führen kann. Wird Kryptomining-Malware gefunden, kann dies außerdem auf Sicherheitslücken hinweisen, die die Gefahr weiterer Cyberangriffe erhöhen.

Kryptojacking-Miner verwenden bösartige Kryptomining-Software, die die Rechenleistung ihrer Opfer nutzt, um Kryptowährungen zu schürfen. Kryptojacking-Code setzt die vorhandenen Ressourcen dabei sparsam und flexibel ein und tarnt sich durch Verschlüsselung und Verschleierung. Die gewonnene Kryptowährung wird anschließend dem Angreifer gutgeschrieben.

Wie lange es dauert, einen Bitcoin zu schürfen, ist kaum zu sagen. Etwa alle zehn Minuten wird die Blockchain um einen Transaktionsblock ergänzt und eine bestimmte Anzahl an Bitcoins (2020: 6,25; Halbierung alle vier Jahre) demjenigen Miner zugewiesen, der die jeweilige Rechenaufgabe als erster gelöst hat. Allerdings ist das Bitcoin-Mining ein hartes Geschäft, in dem die größte Rechenleistung gewinnt.

Browser-Mining ist eine Ausprägung des Kryptojackings, bei dem Fremde ein Computersystem zur Gewinnung von Kryptowährung ausnutzen. So kann auf Websites Code eingebettet werden, der die Website-Besucher unbemerkt für das Browser-Mining einspannt. Zwar halten einige das Browser-Mining für eine legitime Form des Kryptojackings; diese Sichtweise wird allerdings unter Verweis auf die mangelnde Transparenz und Einwilligung oft kritisiert.

Cryptojacking is a unique cyberattack where attackers covertly use a victim’s computing resources to mine cryptocurrency. It differs from other cyberattacks in several key ways:

Key Differences:

Purpose:
- Cryptojacking focuses on hijacking computing power to mine cryptocurrency, unlike ransomware or phishing, which aim to steal data or extort money.
- It does not directly harm or encrypt data but drains system performance and resources.
Stealthy Nature:
- Often operates in the background without the victim realizing, making it harder to detect than overt attacks like ransomware.
- Attackers prioritize prolonged usage rather than immediate financial gain through extortion or theft.
No Direct Interaction:
- Unlike phishing, which manipulates victims into acting, cryptojacking exploits vulnerabilities to install scripts silently.
Impact on Systems:
- Causes performance degradation, overheating, higher energy consumption, and increased hardware wear, rather than compromising data integrity.
Delivery Method:
- Often spread via malicious websites, compromised plugins, or infected software, as opposed to phishing emails or brute-force attacks.