Wat is cryptojacking?

14 januari 2025

Cryptojacking is een cyberdreiging die draait om ongeautoriseerde cryptocurrency mining ten koste van nietsvermoedende personen of organisaties. Cryptojackingactiviteiten kunnen langere tijd onopgemerkt blijven, waardoor aanvallers nog steeds toegang hebben tot hardware zonder dat er kosten aan verbonden zijn.

Wat is cryptojacking?

Wat is de betekenis van cryptojacking?

Cryptojacking verwijst naar het ongeautoriseerde gebruik van computerbronnen om digitale valuta's zoals Monero, Ethereum of andere op privacy gerichte munten te minen. Aanvallers gebruiken kwaadaardige scripts or malware om in websites, toepassingenof bestanden, slachtoffers van kaping CPU or GPU vermogen om cryptografische puzzels op te lossen en digitale munten te verdienen. Prestatieverslechtering, verhoogd energieverbruik en oververhitting van het systeem zijn veelvoorkomende gevolgen.

Cryptojacking is een aantrekkelijke tactiek voor cybercriminelen omdat conventionele cryptocurrency mining aanzienlijke infrastructuurkosten met zich meebrengt, van gespecialiseerde hardware (ASIC's of GPU's) tot stroomverbruik. Door gebruik te maken van nietsvermoedende hosts, omzeilen cryptojackers deze kosten volledig, en schuiven ze zowel de apparatuur- als de nutsrekeningen af โ€‹โ€‹op het slachtoffer.

Is cryptojacking illegaal?

Cryptojacking is illegaal in de meeste rechtsgebieden omdat het afhankelijk is van niet-consensuele exploitatie van computerbronnen. Wetgevers vergelijken cryptojacking met malware-implementatie, ongeautoriseerde systeemtoegang of computerfraude. cybercriminelen die deelnemen aan cryptojacking zijn onderhevig aan vervolging op grond van wetten die betrekking hebben op onrechtmatige toegang, ongeoorloofde wijziging van gegevens en diefstal van computerdiensten. Straffen variรซren afhankelijk van de regionale regelgeving, maar overtreders worden vaak geconfronteerd met aanzienlijke boetes, inbeslagname van activa of gevangenisstraf.

Rechtshandhavingsinstanties volgen cryptojackingcampagnes via gezamenlijke inspanningen met cybersecurityleveranciers. Technisch bewijs, zoals digitale handtekeningen van cryptomining-malware, domeinregistraties voor miningpools of gegevens van gecompromitteerde infrastructuren, helpt autoriteiten bij het lokaliseren van de personen of groepen die grootschalige aanvallen orkestreren.

Het wereldwijde karakter van cryptovaluta maakt handhaving en toeschrijving ervan lastig, maar internationale cybercrime-teams blijven hun aanpak van cryptojacking-incidenten verfijnen.

Hoe werkt cryptojacking?

Dit zijn de populaire methoden die cybercriminelen gebruiken om cryptojacking te initiรซren:

  • Malware-infectiesAanvallers bundelen cryptomining-payloads vaak met Trojaans droppers, kwaadaardige uitvoerbare bestanden of vervalste software-updates. Slachtoffers starten onbewust deze pakketten, waardoor cryptomining op de achtergrond wordt geactiveerd. Bepaalde stammen blijven bestaan โ€‹โ€‹door systeemregisters te wijzigen, opstartscripts te injecteren of beveiligingsprocessen uit te schakelen om ononderbroken mining te garanderen.
  • Browser-gebaseerde scripts. Web Browser-gebaseerde cryptojacking is afhankelijk van kwaadaardige JavaScript snippets die zijn ingesloten op gecompromitteerde websites of via schadelijke advertenties (malvertising). De code begint onmiddellijk met minen zodra de browser van de gebruiker de webpagina laadt, waarbij CPU-bronnen worden verbruikt totdat de gebruiker weg navigeert of het tabblad sluit. Blijvende varianten kunnen pop-undervensters genereren die blijven werken, zelfs nadat het primaire tabblad is gesloten.
  • Drive-by-downloads. Drive-by downloads omvatten het forceren van ongeplande downloads wanneer gebruikers geรฏnfecteerde websites bezoeken of op misleidende pop-ups klikken. Aanvallers maken gebruik van verouderde browserplug-ins, ongepatchte contentmanagementsystemen, of onbeveiligde browserinstellingen om het downloaden van bestanden met cryptominingmodules te starten.
  • Exploits en kwetsbaarheden. Maakt misbruik van zwakke plekken in het doelsysteem of netwerk, zoals zwakke SMB (server berichtenblok) configuraties of ongepatcht besturingssystemenAanvallers maken gebruik van bekende kwetsbaarheden zoals EternalBlue of BlueKeep om cryptominingcode op afstand uit te voeren en deze automatisch te verspreiden via bedrijfsnetwerken of data centers.
  • Phishing- en e-mailcampagnes. Phishing aanvallen verspreiden cryptojacking-malware door personen te overtuigen om op kwaadaardige links te klikken of geรฏnfecteerde bijlagen te openen. Aanvallers doen zich vaak voor als gerenommeerde merken of vertrouwde partijen en misleiden ontvangers om onbedoeld de cryptomining-payload te activeren.

Soorten cryptojacking

Er zijn verschillende methoden voor cryptojacking, die elk hun eigen methoden voor distributie, persistentie en resourceverbruik gebruiken.

Bestandsgebaseerde cryptojacking

Deze methode is gebaseerd op het implementeren van traditionele malwarebestanden op het systeem van een slachtoffer. Dit zijn de kenmerken van op bestanden gebaseerde cryptojacking:

  • Kwaadaardige uitvoerbare bestanden. Aanvallers verpakken cryptominingcomponenten in misleidende installatieprogramma's of Trojaanse software-updates.
  • Persistentiemechanismen. De malware kan geplande taken configureren, registervermeldingen wijzigen of opstartscripts manipuleren om automatisch opnieuw op te starten.
  • Verduisteringstechnieken. Technieken zoals codepacking of encryptie verbergt de miningfuncties, waardoor snelle detectie door antivirusprogramma's wordt voorkomen.
  • Functies voor resourcebeheer. Sommige malware past de intensiteit van de mining aan real time om te voorkomen dat er waarschuwingen worden gegenereerd of dat de prestaties merkbaar afnemen.

Browser-gebaseerde cryptojacking

Browser-based cryptojacking maakt voornamelijk gebruik van web scripting technologieรซn om computerkracht te benutten. Dit is hoe deze methode verschilt van bestandsgebaseerde methoden:

  • Geen directe installatie. Aanvallers hoeven geen bestanden te installeren op de machine van het slachtoffer. JavaScript wordt direct uitgevoerd wanneer een gebruiker een geรฏnfecteerde pagina bezoekt.
  • Directe uitvoering. Het miningproces stopt zodra het tabblad of venster wordt gesloten, tenzij er gespecialiseerde pop-unders of permanente scripts blijven draaien.
  • Vereisten voor gebruikersinteractie. Meestal moet het slachtoffer een gehackte site of advertentie bezoeken.
  • Uitdagende toeschrijving. De kwaadaardige scripts komen vaak van advertentienetwerken van derden of verborgen iFrames, waardoor het onderzoek naar de ware bron ingewikkelder werd.

Cloud Cryptojacking

Cloud cryptojacking-doelen gevirtualiseerde omgevingen en exploiteert moderne implementatiepraktijken. Hier is een overzicht:

  • Toegang via gestolen inloggegevens. Aanvallers loggen in op cloud platforms die gebruikmaken van gelekte of zwakke inloggegevens, waardoor grote instanties worden gecreรซerd die zijn geoptimaliseerd voor cryptomining.
  • Verkeerde configuraties en accounts met te veel privileges. Slecht bestuurd identiteits- en toegangsbeheer aanvallers toestaan โ€‹โ€‹om privileges te verhogen en onbeperkte aantallen te genereren containers of virtuele machines.
  • Grote financiรซle impact. De slachtofferorganisatie betaalt de rekening voor het opgeblazen infrastructuurgebruik.
  • Geavanceerde persistentie. Sommige aanvallers integreren wijzigingen op containerniveau, scriptinjecties in Docker-afbeeldingen, of cryptominers verborgen in efemere workloads die moeilijk te detecteren zijn.

IoT-cryptojacking

IoT Cryptojacking maakt gebruik van de doorgaans minimale beveiliging en beperkte middelen van verbonden apparaten:

  • Lichtgewicht malware. Aanvallers ontwikkelen miningscripts die zijn geoptimaliseerd voor energiezuinige chips die in IoT-omgevingen worden gebruikt.
  • Botnet-potentieel. Grote zwermen geรฏnfecteerde IoT-apparaten genereren gezamenlijk grootschalige inkomsten uit mining.
  • Beperkte veiligheidscontroles. Nalatenschap protocollen, onregelmatig firmware Updates en standaardreferenties maken IoT-apparaten kwetsbaar.
  • Langdurige inzet. IoT-cryptominers blijven vaak draaien totdat het apparaat uitvalt of er een belangrijke firmware-update wordt uitgevoerd, omdat eigenaren het gebruik van bronnen zelden controleren.

Voorbeelden van cryptojackingaanvallen

Hieronder vindt u een lijst met echte cryptojackingincidenten die illustreren hoe aanvallers systemen infiltreren, configuraties manipuleren en middelen misbruiken.

Tesla's openbare Cloud Cryptojacking

In 2018 ontdekten beveiligingsonderzoekers dat aanvallers de Amazon Web Services (AWS)-omgeving van Tesla hadden gecompromitteerd. De aanvallers infiltreerden een onbeveiligde beheerconsole en installeerden cryptominingsoftware op verkeerd geconfigureerde Kubernetes gevallen. Stealth-maatregelen omvatten het verbergen van het mining pool-adres achter Cloudflare-services, waardoor het moeilijker te detecteren is. Tesla's ingenieurs merkten uiteindelijk ongewoon resourcegebruik op, wat leidde tot een intern onderzoek dat het cryptojackingincident onthulde.

De browsergebaseerde miner van The Pirate Bay

The Pirate Bay, een torrentindexsite, bleek een Coinhive-script te draaien dat CPU-kracht van gebruikers aanwendde voor cryptomining. Sitebeheerders implementeerden het script aanvankelijk zonder bezoekers hiervan op de hoogte te stellen, wat leidde tot weerstand van de gebruikersgemeenschap over het onaangekondigde gebruik van bronnen. Het incident trok veel aandacht van de media en leidde tot debatten over de vraag of het draaien van cryptomining-scripts een alternatief kon zijn voor traditionele online advertentiemodellen.

YouTube-advertenties die cryptojackingcode weergeven

Begin 2018 droegen kwaadaardige advertenties op YouTube verborgen JavaScript-miners. Aanvallers kochten advertentieruimte en verduisterden cryptomining-payloads in ogenschijnlijk onschuldige advertenties. Kijkers die deze advertenties zagen, ervoeren een piek in CPU-gebruik, wat aangeeft dat cryptomining-code werd uitgevoerd in hun browsers. Uiteindelijk blokkeerden de beveiligingsteams van Google de aanstootgevende advertenties en verwijderden ze de bijbehorende adverteerdersaccounts.

Browsergebaseerde cryptojacking in Starbucks Wi-Fi

In 2017 klaagden klanten in een Starbucks-vestiging over plotselinge CPU-pieken terwijl ze verbonden waren met de gratis wifi van de koffieshop. Onderzoek wees uit dat er een kwaadaardig script in de authenticatieportal van het netwerk was geplaatst, waardoor de apparaten van bezoekers op de achtergrond cryptocurrency gingen minen. De internetprovider die de Starbucks-hotspot beheerde, verwijderde het script uiteindelijk nadat beveiligingsexperts het probleem openbaar hadden gemaakt.

Hoe herkent u cryptojacking?

Hier zijn de methoden om cryptojacking-indicatoren te herkennen:

  • Systeemprestatieanalyse. Langere periodes van hoog CPU- of GPU-gebruik tijdens daluren zijn mogelijke aanwijzingen dat er cryptomining plaatsvindt. Geautomatiseerde monitoringtools, waaronder realtime prestatiedashboards, kunnen anomalieรซn isoleren die afwijken van de vastgestelde normen.
  • Monitoring van netwerkverkeer. Cryptojacking is afhankelijk van uitgaande verbindingen met miningpools of door aanvallers beheerde serversU kunt netwerkstroomlogboeken gebruiken, inbraakpreventiesystemen, en filters voor bedreigingsinformatie om verdachte verbindingen te detecteren. Ongebruikelijke pieken in DNS vragen aan onbekend domeinen of mining pools zijn sterke indicatoren van cryptojacking-activiteiten.
  • Scannen van beveiligingstools. Endpoint-beveiligingsoplossingen bevatten vaak speciale handtekeningen of heuristieken die zijn afgestemd op cryptomining-malware. Regelmatige antivirusscans, host-based inbraakdetectiesystemen (HIDS) en endpoint detection and response (EDR)-platformen helpen bij het identificeren van verdachte processen. Regelmatige updates van deze tools zijn nodig om opkomende cryptojacking-varianten te vangen.
  • Browserinspectie. Wanneer cryptojacking browser-based is, levert het controleren van open tabbladen of ontwikkelaarsconsoles bewijs van kwaadaardige scripts. Ongeautoriseerde scripts ingebed in website broncode, ongewoon hoog CPU-gebruik gekoppeld aan een specifiek tabblad of browserextensies met twijfelachtige machtigingen zijn veelvoorkomende indicatoren voor een cryptojackingscript.
  • Log- en gebeurteniscorrelatie. Gecentraliseerde oplossingen voor logbeheer, zoals SIEM-platforms, correleren gebeurtenissen uit meerdere bronnen (besturingssystemen, netwerkapparaten en beveiligingstools). Analisten die correlatieregels toepassen die zich richten op afwijkende proceslanceringen, nieuw aangemaakte gebruikersaccounts of herhaaldelijke mislukte inlogpogingen, kunnen cryptojackingpogingen ontdekken.

Hoe voorkom je cryptojacking?

Voorkomen van cryptojacking vereist een mix van software-updates, configuratiebeheer en gebruikerseducatie. Hieronder volgt een introductie tot essentiรซle maatregelen die de verdediging tegen cryptomining-aanvallen versterken.

1. Implementeer software- en firmware-updates

Beveiligingspatches en firmware-upgrades gaan kwetsbaarheden tegen die cryptojackers uitbuiten. Geautomatiseerd patch beheer zorgt voor alle omgevingenโ€”on-premises, cloud, of mobielโ€”blijf actueel. Verouderde systemen missen bescherming tegen openbaar gemaakte exploits die worden gebruikt voor cryptojacking-implementatie.

2. Gebruik browserextensies of scriptblokkers

Scriptblokkering extensies, op privacy gerichte add-ons en ingebouwde browserfuncties (zoals het uitschakelen van JavaScript voor niet-vertrouwde sites) verminderen de blootstelling aanzienlijk. Adblockers die zijn geconfigureerd om bekende cryptomining te blokkeren URL's verdere beperking van potentiรซle aanvallen die afhankelijk zijn van schadelijke advertentiescripts.

3. Versterk e-mail- en webfilters

Geavanceerde e-mailfiltering, sandboxing bijlagen en realtime URL-scanning blokkeren phishing-e-mails of links naar gecompromitteerde websites. Organisaties gebruiken vaak DNS-filteroplossingen die pogingen om kwaadaardige domeinen op te lossen onderscheppen, waardoor cryptojacking-sites niet worden geladen.

4. Verbeter de eindpuntbeveiliging

Antivirus van de volgende generatie en EDR-oplossingen bieden gedragsanalyse en geheugenscanning voor cryptominingpatronen. Sommige producten beperken of beรซindigen processen die kenmerken vertonen die consistent zijn met cryptominers, zoals continu hoog CPU-gebruik dat niet gerelateerd is aan bekende legitieme bewerkingen.

5. Secure Cloud omgevingen

Beveiligen cloud platforms omvatten sterke identiteits- en toegangsbeheer (IK BEN), netwerksegmentatie, containerbeveiliging en workloadscanning. Systeembeheerders moet resourcegebruikwaarschuwingen integreren die teams op de hoogte stellen van abnormale pieken in CPU-gebruik. Logging en monitoring op schaal kunnen cryptojacking in Kubernetes of havenarbeider ecosystemen.

6. Onderwijs personeel

phishing, social engineering, en kwaadaardige bijlagen blijven de primaire afleveringsmechanismen voor cryptojacking-malware. Regelmatige cybersecuritytraining benadrukt tactieken die door tegenstanders worden gebruikt, waarbij werknemers worden geรฏnstrueerd om e-mailbronnen te onderzoeken en te voorkomen dat ze op verdachte links klikken of macro's in onbekende bestanden inschakelen.

Hoe verwijder ik cryptojacking?

Zo neutraliseert u cryptojacking-infecties:

Identificeer de bron van de infectie

Gebruik systeemscans, netwerklogs en prestatiemetingen om cryptominingprocessen op te sporen. Onderzoeken kunnen schadelijke uitvoerbare bestanden, scripts of verdachte gebruikersaccounts onthullen die door aanvallers zijn gemaakt. Het identificeren van apparaten met een patiรซnt-nul-status helpt u de initiรซle aanvalsvector en verdere verspreiding tegen te gaan.

Beรซindig kwaadaardige processen

Het beรซindigen van actieve miningsessies is cruciaal om aanhoudende schade te minimaliseren. Isoleer geรฏnfecteerde machines van het netwerk, beรซindig cryptojackingprocessen met behulp van besturingssysteemopdrachten, beveiligingssoftwareconsoles of handmatige servicebeรซindigingen. Onmiddellijke inperking helpt aanvallers te blokkeren om de gecompromitteerde eindpunten te controleren.

Verwijder schadelijke bestanden of scripts

Bestandsgebaseerde cryptojacking plaatst vaak uitvoerbare bestanden of dynamische bibliotheken in verborgen mappen. Zoek deze op met behulp van forensische tools, hash-gebaseerde zoekopdrachten of antivirusscans. Verwijder of plaats de kwaadaardige objecten in quarantaine zodra ze zijn geรฏdentificeerd. Browsergebaseerde cryptojacking vereist mogelijk het verwijderen van extensies, het wissen van caches, of het verwijderen van geรฏnjecteerde code uit sitesjablonen.

Herstel of herstel gecompromitteerde systemen

Het opnieuw installeren van de betreffende apparaten zorgt voor een grondige reiniging van alle persistente cryptojackingcomponenten. Kritiek servers vertrouwen doorgaans op up-to-date backups om de operaties snel te herstellen. Bevestig de integriteit van backup afbeeldingen of momentopnamen voordat u ze opnieuw implementeert in productieomgevingen.

Versterk de veiligheidscontroles

Cryptojackingincidenten benadrukken gebieden met een ontoereikende beveiligingshouding. Verfijn uw patchingcadans, verhard configuraties en beperk beheerdersrechten. Om te voorkomen dat cryptojackers opnieuw voet aan de grond krijgen, moet u uw firewall regels, netwerksegmentatiebeleid en instellingen voor inbraakpreventie.

Continue monitoring en testen

Routine kwetsbaarheidsbeoordelingen, penetratietesten, en gecentraliseerde logbeoordelingen zijn essentieel om nieuwe cryptojackingtactieken te anticiperen. Gebruik realtime bedreigingsintelligentie en anomaliedetectiesystemen die verdachte patronen markeren. Doorlopende audits zorgen ervoor dat eerdere mazen in de wet gedicht blijven, waardoor cryptojackingrisico's op de lange termijn aanzienlijk worden verminderd.

Nikola
Kosti
Nikola is een doorgewinterde schrijver met een passie voor alles wat met hightech te maken heeft. Na het behalen van een graad in journalistiek en politieke wetenschappen, werkte hij in de telecommunicatie- en onlinebanksector. Schrijft momenteel voor phoenixNAP, hij is gespecialiseerd in het oplossen van complexe vraagstukken over de digitale economie, e-commerce en informatietechnologie.