Cryptojacking – betekenis en definitie
Cryptojacking is een vorm van cybercriminaliteit waarbij cybercriminelen zonder toestemming apparaten van slachtoffers (computers, smartphones, tablets of zelfs servers) gebruiken om cryptovaluta te mijnen. Net als bij veel andere vormen van cybercriminaliteit is winst maken het motief. Maar in tegenstelling tot andere dreigingen, is cryptojacking zodanig ontworpen dat deze voor het slachtoffer verborgen blijft.
Wat is cryptojacking?
Cryptojacking is een bedreiging die zich in een computer of mobiel apparaat nestelt en vervolgens het vermogen van het apparaat gebruikt om cryptovaluta te mijnen. Cryptovaluta is digitaal of virtueel geld, dat de vorm aanneemt van 'tokens' of 'coins'. Naast de bekende Bitcoin zijn er nog ongeveer 3000 andere cryptovaluta's. Hoewel sommige cryptovaluta's hun weg naar de echte wereld hebben gevonden via creditcards of andere projecten, blijven de meeste virtueel.
Cryptovaluta's maken gebruik van een gedistribueerde database, ook wel een 'blockchain' genoemd. De blockchain wordt regelmatig bijgewerkt met informatie over alle transacties die hebben plaatsgevonden sinds de laatste update. Elke set recente transacties wordt middels een complex wiskundig proces samengebracht in een blok.
Om nieuwe blokken te kunnen produceren, hebben cryptovaluta's de rekenkracht van computersystemen van anderen nodig. Crypovaluta's belonen mensen die de rekenkracht leveren met cryptovaluta. Mensen die computerresources verhandelen voor valuta worden 'miners' genoemd.
De grotere cryptovaluta's gebruiken teams van 'miners' die speciale computer-rigs runnen voor het uitvoeren van de nodige wiskundige berekeningen. Voor deze activiteit is een aanzienlijke hoeveelheid elektriciteit nodig. Zo gebruikt het Bitcoin-netwerk meer dan 73 TWh energie per jaar.
Cryptojackers en de toekomst van cryptojacking
Dit is waar cryptojacking komt kijken. Cryptojackers zijn mensen die willen profiteren van het 'minen' van cryptovaluta zonder de hoge kosten te hoeven dragen. Doordat ze geen geld hoeven uit te geven aan dure mininghardware en niet zelf de hoge energierekening betalen, kunnen hackers via cryptojacking zonder hoge overheadkosten cryptovaluta 'minen'. De cryptovaluta die vaak op pc's wordt 'gemined' is Monero. Deze cryptovaluta is lastig op te sporen en is daarom erg in trek bij cybercriminelen.
Er is enige onenigheid over de vraag of cryptojacking in opkomst is of juist afneemt. Cryptojacking neemt vaak toe wanneer de waarde van cryptovaluta's stijgt, met name die van Bitcoin en Monero. Maar in de afgelopen jaren hebben twee factoren een ontmoedigend effect gehad op cryptojacking:
- Campagnes van wetshandhavers.
- De sluiting van Coinhive, de grootste site voor cryptominers. Coinhive leverde JavaScript-code die in websites kon worden opgenomen zodat de computers van bezoekers Monero gingen 'minen'. De Coinhive-code viel snel ten prooi aan misbruik. Een miningscript kon immers ook door hackers worden geïnjecteerd in een website, zonder medeweten van de eigenaar van de site. De site werd in maart 2019 uit de lucht gehaald, waardoor het aantal infecties van websites scherp daalde.
De reden voor een cryptojackingaanval is simpel: geld verdienen. Het 'minen' van cryptovaluta's kan erg lucratief zijn, maar winst maken is lastig als je niet de middelen hebt om de kosten te dragen. Cryptojacking is de criminele variant op cryptomining en een illegale maar effectieve en goedkope manier om waardevolle coins te 'minen'.
Hoe werkt cryptojacking?
Cybercriminelen hacken apparaten om cryptojackingsoftware te installeren. De software werkt op de achtergrond, waarmee cryptovaluta's wordt 'gemined' of gestolen uit 'wallets' voor cryptovaluta. Het nietsvermoedende slachtoffer gebruikt zijn of haar apparaat zoals normaal, maar merkt mogelijk wel dat het langzamer werkt of is vertraagd.
Hackers gebruiken hoofdzakelijk twee manieren om het apparaat van een slachtoffer in het geheim cryptovaluta's te laten 'minen':
- Door ervoor te zorgen dat het slachtoffer op een schadelijke koppeling in een e-mail klikt, waardoor er cryptominingcode op de computer wordt gezet
- Door een website of onlineadvertentie te infecteren met JavaScript-code die automatisch wordt uitgevoerd, zodra deze in de browser van het slachtoffer is geplaatst
Hackers zetten vaak beide methoden in om zo de opbrengsten te maximaliseren. In beide gevallen plaatst de code het cryptojackingscript op het apparaat. Terwijl het slachtoffer aan het werk is, wordt dit script op de achtergrond uitgevoerd. Bij beide methoden worden er door het script complexe wiskundige problemen uitgevoerd op het systeem van het slachtoffer. Zodra deze zijn opgelost, stuurt het script de oplossing naar een server waarover de hacker controle heeft.
In tegenstelling tot andere typen malware brengen cryptojackingscripts geen schade aan op computers of aan gegevens van slachtoffers. Wel stelen ze verwerkingsvermogen van een computer. Individuele gebruikers zullen het hooguit wat vervelend vinden dat hun computer wat trager werkt. Voor zakelijke gebruikers zijn de gevolgen groter. Wanneer een organisatie met veel gekaapte systemen te maken heeft, brengt dit kosten met zich mee. Bijvoorbeeld:
- Het inschakelen van een helpdesk en IT'ers bij het opsporen van de oorzaak van de prestatieproblemen en het vervangen van onderdelen of systemen in de hoop om zo de problemen te verhelpen.
- Hogere elektriciteitskosten.
Sommige cryptominingscripts kunnen wormen verspreiden en zo andere apparaten en servers op een netwerk infecteren. Hierdoor zijn ze lastiger op te sporen en te verwijderen. Deze scripts kunnen ook controleren of het apparaat al is geïnfecteerd met concurrerende cryptominingmalware. Als dat het geval is, schakelt het script deze uit.
In de begindagen van cryptomining probeerden sommige webpublishers geld te verdienen aan hun internetverkeer door bezoekers om toestemming te vragen voor het mijnen van cryptovaluta terwijl ze hun site bezochten. Zij brachten dit als een eerlijke deal: in ruil voor gratis content zouden de computers van de bezoekers worden ingezet voor 'mining'. Op gamingsites, bijvoorbeeld, bleven gebruikers dan een tijdje op de webpagina zodat de JavaScript-code coins kon 'minen'. Bij het verlaten van de pagina werd het 'cryptominen' stopgezet. Deze aanpak kan werken zolang sites transparant zijn over wat ze aan het doen zijn. Voor gebruikers is het lastig te bepalen of websites hier eerlijk over zijn.
Kwaadaardige vormen van cryptomining (cryptojacking) vragen niet om toestemming en blijven nadat je de site hebt verlaten nog lange tijd doorwerken. Dit is een techniek die wordt toegepast door eigenaren van dubieuze sites of door hackers die legitieme sites zijn binnengedrongen. Gebruikers hebben geen idee dat een site die ze hebben bezocht hun computer heeft gebruikt voor het 'minen' van cryptovaluta. De code gebruikt net genoeg rekenkracht om onopgemerkt te blijven. De gebruiker denkt alle browservensters te hebben gesloten en heeft niet in de gaten dat een verborgen venster open is blijven staan. Vaak gaat het hierbij om een 'pop-under', die precies onder de taakbalk of achter de klok past.
Ook mobiele Android-apparaten kunnen worden geïnfecteerd met cryptojacking. De methoden die hiervoor worden gebruikt, zijn gelijk aan die voor pc's. Sommig aanvallen vinden plaats via een Trojaans paard dat is verborgen in een gedownloade app. Wat ook voorkomt is dat telefoons van gebruikers worden omgeleid naar een geïnfecteerde site, die een persistente pop-under achterlaat. Eén enkele telefoon biedt relatief weinig rekenkracht, maar als deze aanvallen in grote aantallen plaatsvinden, zorgt het gecombineerde vermogen van deze telefoons ervoor dat de inspanningen van de cryptojackers de moeite waard zijn.
Voorbeelden van cryptojackingaanvallen
Bekende voorbeelden van cryptojacking:
- In 2019 werden acht verschillende apps waarmee heimelijk cryptovaluta werd 'gemined' aan de hand van de mensen die ze hadden gedownload, verwijderd uit de Microsoft Store. De apps zouden afkomstig zijn van drie verschillende ontwikkelaars, maar vermoed werd dat een en dezelfde persoon of organisatie achter al deze apps zat. Potentiële doelwitten konden de cryptojackingapps tegenkomen door te zoeken op trefwoorden in de Microsoft Store, en in overzichten van de meest populaire gratis apps. Wanneer een gebruiker een van de apps had gedownload of gestart, werd er zonder medeweten van de gebruiker JavaScript-code voor cryptojacking gedownload. Zodra de 'miner' was geactiveerd, ging deze op zoek naar Monero. De hoeveelheid rekenkracht die hierbij nodig was, ging ten koste van de snelheid van het apparaat van de gebruiker.
- In 2018 werd cryptojackingcode ontdekt in de Homicide Report-pagina van de Los Angeles Times. Zodra bezoekers de pagina bezochten, werden hun apparaten gebruikt om de populaire cryptovaluta Monero te 'minen'. De bedreiging bleef een tijdlang onopgemerkt omdat de hoeveelheid rekenkracht die het script gebruikte minimaal was. Hierdoor hadden veel gebruikers niet in de gaten dat hun apparaten werden misbruikt.
- In 2018 richtten cryptojackers zich op het technologienetwerk van het regelsysteem van een Europees waterbedrijf, wat ernstige gevolgen had voor het aansturen van de installaties. Dit was, voor zover bekend, de eerste cryptojackingaanval op een industrieel regelsysteem. Net als bij de hack van de Los Angeles Times werd er door de 'miner' Monero gegenereerd.
- Begin 2018 bleek dat de CoinHive-'miner' actief was in YouTube-advertenties via het DoubleClick-platform van Google.
- In juli en augustus 2018 raakten in Brazilië meer dan 200.000 MikroTik-routers geïnfecteerd met een cryptojackingaanval, waardoor een enorme hoeveelheid internetverkeer werd geïnjecteerd met CoinHive-code.
Cryptojacking detecteren
Cryptojacking is lastig te detecteren, omdat het proces vaak verborgen is of eruitziet als een onschuldige activiteit op je apparaat. Er zijn drie tekenen waar je op moet letten:
Cryptojacking detecteren – drie dingen waar je op moet letten
1. Verminderde prestaties
Een van de belangrijkste symptomen voor cryptojacking is verminderde prestaties van je apparaten. Een trager werkend systeem kan een eerste indicatie zijn. Dus als je apparaat trager wordt, crasht of ongewoon slecht presteert, kan er sprake zijn van cryptojacking. Een andere aanwijzing is dat je batterij sneller leeg raakt dan normaal.
2. Oververhitting
Cryptojacking vergt zeer hoge processoractiviteit, waardoor apparaten oververhit kunnen raken. Dit kan leiden tot beschadiging of een kortere levensduur van de computer. Als de ventilator van jouw laptop of pc verhoogde activiteit vertoont, wordt dit mogelijk veroorzaakt door een cryptojackingscript of web-based cryptojacking. De ventilator draait dan met hogere snelheden om smelten of brand te voorkomen.
3. CPU-gebruik (Central Processing Unit):
Als je merkt dat het CPU-gebruik toeneemt wanneer je een website bezoekt met weinig of geen mediacontent, kan dit een teken zijn dat er cryptojackingscripts worden uitgevoerd. Een goede manier om erachter te komen of er sprake is van cryptojacking, is het controleren van het CPU-gebruik van je apparaat via de Activity Monitor of Taakbeheer. Houd er wel rekening mee dat processen zichzelf kunnen verbergen of zich kunnen voordoen als iets legitiems om te voorkomen dat je het misbruik op het spoor komt. Daarnaast werkt je computer op maximale capaciteit zeer traag, wat het oplossen van problemen kan bemoeilijken.
Bescherming tegen cryptojacking
Gebruik een goed cybersecurity-programma:
Een uitgebreid cybersecurity-programma zoals Kaspersky Total Security helpt bij het detecteren van alle soorten bedreigingen en kan bescherming bieden tegen cryptojackingmalware. Net als bij alle andere voorzorgsmaatregelen tegen malware, is het beter om beveiliging te installeren voordat je een slachtoffer wordt. Ook is het verstandig om altijd de nieuwste software-updates en -patches te installeren voor je besturingssysteem en alle applicaties, vooral als het gaat om webbrowsers.
Houd de laatste trends op het gebied van cryptojacking in de gaten:
Cybercriminelen zijn continu bezig met het aanpassen van code en het bedenken van nieuwe methoden om bijgewerkte scripts op jouw systeem te krijgen. Door proactief te zijn en op de hoogte te blijven van de laatste bedreigingen op het gebied van cybersecurity, ben je beter in staat om cryptojacking op je netwerk en apparaten op te sporen en andere cybersecurity-bedreigingen te vermijden.
Gebruik speciaal ontworpen browserextensies ter voorkoming van cryptojacking:
Cryptojackingscripts worden vaak toegepast in webbrowsers. Met speciale browserextensies kun je alle cryptojackers op het web blokkeren, zoals minerBlock, No Coin en Anti Miner. Je installeert ze als extensies in enkele populaire browsers.
Gebruik ad-blockers:
Aangezien cryptojackingscripts vaak worden verspreid via onlineadvertenties, kan het installeren van een ad-blocker een effectieve manier zijn om ze tegen te houden. Een ad-blocker als Ad Blocker Plus kan kwaadaardige cryptojackingcode niet alleen detecteren maar ook blokkeren.
Schakel JavaScript uit:
Door tijdens het surfen online JavaScript uit te schakelen, kun je voorkomen dat je pc wordt geïnfecteerd met cryptojackingcode. Hoewel dit een manier is om drive-by-cryptojacking tegen te houden, blokkeer je zo mogelijk ook functies die je nodig hebt.
Blokkeer pagina's waarvan bekend is dat ze cryptojackingscripts verspreiden:
Controleer voordat je een website bezoekt of deze op een zorgvuldig onderzochte witte lijst staat. Je kunt ook websites die bekendstaan om cryptojacking op een zwarte lijst zetten, maar dan staat je apparaat of netwerk mogelijk nog steeds bloot aan nieuwe pagina's met cryptojackingscripts.
Cryptojacking lijkt relatief onschuldig, aangezien degenen die erachter zitten alleen uit zijn op de rekenkracht van de computer van het slachtoffer. Het gebruik van rekenkracht voor dit criminele doeleinde vindt echter plaats zonder medeweten of toestemming van het slachtoffer en ten gunste van criminelen die op illegale wijze valuta creëren. Om de risico's te beperken adviseren we om goede beveiligingspraktijken te volgen en op al je apparaten vertrouwde cybersecurity of internetbeveiliging te installeren.