Veel websites en zelfs enkele computernetwerken met kritieke infrastructuur zijn, sinds het najaar van 2018, geïnfecteerd door, of opzettelijk opgezet voor het hosten van coin-mining (cryptomuntdelving) programma's.
Deze programma's gebruiken de verwerkingskracht van een computer of smartphone om cryptocurrency "te delven", letterlijk om geld te verdienen voor degene die de programma’s onder controle heeft. De betroffen programma's zijn niet altijd kwaadaardig, maar ze vertragen computers en kunnen ook sommige smartphones beschadigen.
Wanneer cryptodelvers zonder toestemming van de eigenaar van het apparaat worden gebruikt, wordt dat cryptojacking genoemd, iets dat absoluut onethisch is en mogelijk illegaal. Cryptojacking is cryptogeld kapen of, in dit geval, de ongeoorloofde omleiding van de bronnen van een computer of smartphone naar cryptocurrencies.
"Cryptomining malware, of cryptocurrency-mining malware, of simpelweg cryptojacking malware, verwijst naar softwareprogramma's en malwarecomponenten die zijn ontwikkeld om de bronnen van een computer over te nemen en ze te gebruiken om cryptocurrency te delven zonder uitdrukkelijke toestemming van de computereigenaar", zegt Nadav Avital, leider van een applicatiebeveiliging onderzoeksteam bij het Californische Imperva, een beveiligingsfirma voor bedrijven.
Hoe kan je Cryptojacking voorkomen?
Cryptojacking is het nieuwe wapen van cybercriminelen en heeft ransomware (die bestanden versleutelt) vervangen. Dankzij de opkomst van de Bitcoin en de groeiende populariteit van veel andere cryptomunten, was het mogelijkerwijze slechts een kwestie van tijd voordat de slechteriken een manier vonden om computersystemen van andere mensen in hun eigen voordeel te exploiteren.
"In de meeste gevallen worden apparaten stiekem geïnfecteerd via aangetaste website-code, advertenties of inhoud van derden, die JavaScript uitvoeren om naar een andere bron te bellen of om een exploit te laten plaatsvinden", zegt Chris Olson, CEO van The Media Trust, een beveiligingsbedrijf uit Virginia, Verenigde Staten.
Cryptojacking is stukken minder schadelijk dan het versleutelen die ransomware doet en voor veel slachtoffers is het vaak pas een ergernis op het moment dat de systeemventilatie sneller gaat lopen terwijl de rest juist langzamer wordt.
Vanwege de manier waarop de software voor muntdelving de systeembronnen monopoliseert, verliezen gebruikers echter het volledig gebruik van hun machine, die traag en zelfs onbruikbaar kan worden. Vanwege de grote hoeveelheid stroom die nodig is om munten te delven, zou je elektriciteitsrekening omhoog kunnen gaan en een onverklaarbare verhoging van je energierekening zou best een teken kunnen zijn dat je geïnfecteerd bent door malware die cryptogeld delft.
Gelukkig zijn er eenvoudige manieren om te voorkomen dat je slachtoffer wordt van cryptojacking. Antivirussoftware kan zeer besmettelijke muntdelvingsoftware en een aantal browser-gebaseerde muntdelvers blokkeren. Script-blokkerende browserextensies zoals NoScript voor Mozilla Firefox of ScriptBlock of ScriptSafe voor Google Chrome zullen voorkomen dat muntdelving in de browser kan worden uitgevoerd.
Eén extensie voor Google Chrome, de Coin-Hive Blocker, blokkeert specifiek het browser-script van de Coinhive, een klein programma dat, wanneer het aan een website wordt toegevoegd, de computers van webbezoekers gebruikt om de Monero cryptocurrency te delven.
Cryptomuntdelvers die de browser gebruiken zijn niet illegaal. Veel websites, zoals die van Salon en Windscribe, gebruiken ze openlijk en waarschuwen gebruikers dat ze actief zijn, waardoor bezoekers vaak de keuze hebben om hun verwerkingskracht te "lenen
Sommige andere sites plaatsen bewust Coinhive of andere browsergebaseerde cryptominers (cryptomuntdelvers) zonder het aan de bezoekers te vertellen en dit is onethisch, maar mogelijk niet illegaal.
Maar niet elk technologiebedrijf accepteert het delven van cryptomunten. In juni, schopte Apple legitieme muntdelving applicaties uit de App Store.
Ook al heb je zelf geen interesse in cryptocurrency, kun je indirect worden beïnvloed door sluipende cryptomining, vooral als de mining-software geprogrammeerd is om 100 procent van de verwerkingsbronnen van een machine te gebruiken (wat meestal niet het geval is).
De opkomst van Cryptojacking
Cryptojacking haalde de krantenkoppen in het najaar van 2018. Een paar maanden eerder had een bedrijf genaamd Coinhive een JavaScript-fragment ontwikkeld dat, als het in een webpagina werd geplaatst, Monero (een cryptomunt) kon delven door de verwerkingskracht te gebruiken van computers die via webbrowsers de pagina bezochten.
Half september heeft de website The Pirate Bay, waar bestanden worden gedeeld, de Coinhive op zijn website getest zonder gebruikers hiervan op de hoogte te stellen. Ook de website van Showtime, het premium kabelkanaal heeft Coinhive een aantal dagen uitgevoerd, hoewel het nog steeds niet duidelijk is wie het script op hun pagina heeft gezet.
In november 2018 draaide Coinhive op bijna 2.500 websites, maar in juni 2019 verklaarde het antivirusbedrijf McAfee dat dit aantal tot 30.000 sites was opgelopen en niet alle beheerders wisten dat zo’n programma aanwezig was.
De totale activiteit van de cryptomining malware steeg met bijna 1.200 procent vanaf het najaar van 2018 tot de winter van 2019, zei McAfee, terwijl ransomware aanvallen met 32 procent zakten. Ook bij Kaspersky Lab werd geconstateerd in 2018 dat rapporten over ransomware, vergeleken met het jaar daarvoor, met bijna 30 procent waren gedaald terwijl het aantal rapporten van cryptomining malware met bijna 45 procent was toegenomen.
De kopteksten uit de eerste zes maanden van 2018 vertellen het hele verhaal. YouTube werd getroffen door cryptomunten delvende advertenties. Meer dan 500.000 Windows-servers waren geïnfecteerd met malware voor het delven van munten. Naar schatting werden 60 miljoen Android-gebruikers naar een coin-mining website gelokt. Deze activiteit zou de oudere telefoons hebben belast tot het punt van oververhitting. Een Europese bank heeft naar verluidt coin-mining software gevonden die door een malafide medewerker in haar datacenter was geïnstalleerd. En een worm om cryptomunten te delven verspreidde zich over Amazon Fire TV-apparaten die waren aangepast om illegale inhoud te streamen.
Inzicht hebben in het delven van cryptocurrency en in cryptojacking
Avital zei dat het delven naar cryptocurrency gebruik maakt van de rekenkracht van computers om moeilijke wiskundige puzzels, ook wel proof-of-works genoemd, op te lossen. Elk blok met voltooide puzzels genereert een vaste hoeveelheid nieuw cryptogeld.
Echter, naarmate de puzzels met de tijd moeilijker worden, is het exploiteren van Bitcoin en enkele andere gevestigde cryptocurrencies niet langer een gemakkelijke taak voor individuele pc's. Sommige Bitcoin delvers gebruiken gespecialiseerde hardware en andere sluiten zich aan bij pools van cryptogeld delvers waarin veel computers hun bronnen combineren en de buit vervolgens verdelen.
De Coinhive-service is een soort cryptogeld delving pool, ook al krijgen de eindgebruikers geen deel. In plaats daarvan krijgen website-exploitanten 70 procent en krijgt Coinhive 30 procent. Maar alleen als het op legitieme wijze wordt gebruikt.
Kwaadwillige Coinhive-gebruikers wijzigen de code zodat 100 procent van het gedolven geld naar hun eigen Monero-wallet (digitale portemonnee) gaat. Deze fragmenten van gewijzigde code worden buiten de kennis van de operatoren op websites geplaatst of worden in onlineadvertenties geladen waarover de websites zelf praktisch geen controle hebben.
Hoe werken cryptojacking-aanvallen?
Volgens Olson zijn er twee vormen van cryptojacking, als apparaat-infectie en als website-uitvoering.
De infectie van apparaten volgt dezelfde paden als traditionele malware-infectie. Een stuk software sluipt in een machine door mee te liften met een gewenst programma, of door zich te verstoppen op een USB-station, door stiekem te worden gedownload van een kwaadwillende website of door zich voor te doen als een onschadelijke e-mailbijlage of een gratis stukje software. De cryptogeld delver installeert zichzelf op de achtergrond en begint te werken.
Bij de website-uitvoering wordt niets geïnstalleerd. In dat geval zal het een JavaScript zijn die op een weergegeven webpagina de CPU van elke bezoekende machine tot actie aanspoort. Deze activiteit houdt op zodra de betreffende pagina niet meer is geladen.
"In beide vormen wordt CPU-vermogen voor langere tijd gekaapt, zelfs als het apparaat of de browsersessie niet worden gebruikt", zei Olson. "Veel consumenten realiseren zich niet eens dat de verwerkingskracht van hun apparaat wordt overgeheveld naar het delven voor cryptocurrency."
Het eindspel voor cybercriminelen, niet verrassend, is financieel gewin. In een cryptomining-scenario is de beloning clandestiene toegang tot de verwerkingskracht van het apparaat van een gebruiker.
"Criminelen plukken het voordeel van snellere delving zonder het gedoe van het kopen en beheren van meerdere servers" zei Olson. "Er zijn weinig minpunten omdat de meeste bezitters geen idee hebben dat hun apparaten zijn gecompromitteerd"
De toekomst van Cryptojacking
Als grote datacenters of webhostingproviders in gevaar worden gebracht door software voor het delven van munten, zouden we wereldwijd een afname van de internetsnelheid kunnen verwachten, zei Justin Jett, directeur audit en compliance voor beveiligingsbedrijf Plixer in Maine, Verenigde Staten.
Hackers beginnen om cryptomining aanvallen op kritieke infrastructuur te richten, waarschuwde Nick Bilogorskiy, een cybersecurity strateeg bij Juniper Networks, een netwerkbedrijf in Californië.
"Malware om naar cryptocurrency te delven is onlangs gevonden in het netwerk van een waterleidingbedrijf in Europa," zei Bilogorskiy. "Malware is waarschijnlijk geïnstalleerd nadat iemand een browser op een server had gebruikt om een website te kunnen bezoeken, waarna de malware mogelijk bestanden heeft gebruikt die op het netwerk werden gedeeld om de computers van het nutsbedrijf te bereiken."
Onderzoekers van Cisco Talos Labs verwachten dat criminelen die geld inzamelen zich tot de apparaten van Internet of Things zullen wenden. Hoewel slimme koelkasten, tv's en thermostaten niet krachtig genoeg zijn vergeleken met computers of zelfs smartphones, kan het enorme aantal beschikbare smartapparaten het gebrek aan verwerkingssnelheid compenseren.
Deze bedreiging is echt zorgwekkend, zelfs voor computergebruikers die geen cryptocurrency delven.
"De cryptojacking-software zorgt ervoor dat de bronnen van je computer maximaal worden benut en dit vermindert het vermogen van je machine om andere processen uit te voeren. Op zijn beurt wordt het vermogen van de gebruiker om bepaalde taken efficiënt uit te voeren ook verminderd" zei Jett. "Als zodanig zou cryptojacking de gehele maatschappelijke productiviteit dus gemakkelijk kunnen verminderen"