Kryptowährungen wie Bitcoin, Ethereum, Monero & Co. boomen. Wenig verwunderlich, dass auch Cyberkriminelle auf diesen Trend aufspringen und dabei ordentlich abkassieren.
War das Jahr 2017 in Sachen Cybercrime überwiegend von Datendiebstahl und Ransomware geprägt, beobachten Sicherheits-Experten in diesem Jahr, dass KryptoMining-Malware zur beliebten und profitablen Wahl von Cyberkriminellen geworden ist.
Bereits im vergangenen April 2017 gelang über die Hackergruppe „Shadow Brokers“ das von der NSA entwickelte Windows-Exploit „EternalBlue“ in die Öffentlichkeit. Nur einen Monat später wurde über das Windows-Exploit der verheerende globale Ransomware-Angriff namens WannaCry gestartet. Alleine mit WannaCry infizierten sich mehr als 230.000 Computer in 150 Ländern, weitere Angriffe über „EternalBlue“ folgten in kurzen Abständen.
Experten von Proofpoint sind jetzt sicher, ein riesiges globales Botnetz namens „Smominru“ nutzt das EternalBlue-SMB-Exploit (CVE-2017-0144), um Windows-Systeme zu infizieren und heimlich im Hintergrund der Systeme Monero-Kryptowährung im Wert von mehreren Millionen Dollar zu generieren. Laut den Sicherheits-Experten ist das „Smominru-Botnet“ mindesten seit Mai 2017 aktiv und hat bereits mehr als als 526.000 Windows-Computer infiziert.

Die Sicherheits-Experten gehen davon aus, dass es sich hierbei hauptsächlich um ungepatchte Rechner und Server handelt! Man beachte, dass Microsoft die Sicherheitslücke „EternalBlue“ bereits im März 2017 geschlossen hat.

Das Smominru-Botnetz schürft rund 2,3 Millionen Dollar

Die Experten gehen mittlerweile davon aus, dass es sich hier um eins der größten „Mining-Botnetze“ handelt, welches je gesehen wurden. So werden die infizierten Geräte auf über 520.000 Computer gezählt, die für ihren Betreiber bereits 8.900 der Kryptowährung Monero (ca. 2,3 Millionen Dollar) schürften.

Bild: proofpoint.com – Stats and Payments on the MineXMR mining pool

Um die System zu infizieren, kommen hauptsächlich die Windows-Exploits EternalBlue und das „EsteemAudit (CVE-2017-0176)“ zum Einsatz. Aber auch andere Techniken werden bereits eingesetzt. So berichten Experten, dass Kriminelle auch MySQL-Server auf Windows und Linuxsystemen im Visier haben. Die Sicherheitsfirma CrowdStrike veröffentlichte kürzlich einen Blog-Post, in dem über eine weit verbreitete Krypto-Malware namens „WannaMine“ berichtet wird. Diese nutzt auch die Windows-Sicherheitslücke „EternalBlue“, da „WannaMine“ aber keine Datei auf die Systeme lädt, ist die Erkennungsrate über Antivirenprogramme sehr gering. So konnten die Kriminellen auf vielen Systemen unbemerkt im Hintergrund über zum Teil Monate Kryptowährungen schürfen.
Neben der Infektion von Systemen nutzen Cyberkriminelle auch „Cryptojacking-Angriffe“, zum einen werden Webseiten gehackt und Schadcode integriert, zum anderen werden browserbasierte Monero-Mining Skripte über die Internetbrowser gestartet, welche die CPU-Leistung von Webseiten-Besuchern nutzen, um unbemerkt Kryptowährungen zu generieren.

Wie können wir uns vor Mining-Malware schützen?

Die veraltete Windows Sicherheitslücke EternalBlue (CVE-2017-0144) wurde von Microsoft bereist im März 2017 geschlossen. Das Patchen der Systeme wird dringend empfohlen!

  • Schützen Sie Ihren Computer vor einer Infektion, indem Sie das Betriebssystem und darauf installierte Software immer up-to-date” halten.
  • Installieren Sie eine Antiviren-Software auf dem Computer bzw. überprüfen Sie diesen mit einem unserer EU-Cleaner
  • Zudem können Browser-Add-Ons wie ein Scriptblocker die Aktivitäten z.B. von „WannaMine“ blockieren.

Weitere Tipps wie Sie das System absichern können

  1. Wichtiger denn je, machen Sie regelmäßig Backups von Ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac.