Veiligheid in tijden van browser-based cryptovaluta-mining

Chantal ‘t Gilde, Managing Director Benelux & Nordics bij Qualys

Cryptojacking is een vorm van cybercrime die de laatste tijd steeds meer aan populariteit wint. Bij deze browser-based vorm van cryptovaluta-mining worden bepaalde cryptovaluta gedolven door gebruik te maken van de resources op het systeem van het slachtoffer via malafide JavaScript. Hierbij besmetten aanvallers populaire sites met JavaScript dat cryptojacking mogelijk maakt, waarna bezoekers van deze sites deze kwaadaardige software downloaden en er zo ongemerkt aan bijdragen dat de systeemresources cryptovaluta gaan delven die wordt toegevoegd aan de wallet van de aanvaller. Tegelijkertijd neemt het resource-intensieve mining-proces dat wordt uitgevoerd op systemen van het slachtoffer al gauw meer dan 70 procent van de CPU in beslag, en zorgt zo voor slechtere systeemprestaties, meer stroomverbruik en mogelijk blijvende schade aan het systeem.

Cryptojacking wordt mainstream

Het feit dat aanvallers cryptovaluta in handen krijgen zonder dat zij hiervoor ook maar een cent hoeven uit te geven aan mining-infrastructuur, maakt cryptojacking voor hen zeer lucratief. De algemene kapitalisering van de cryptovalutamarkt bereikte in juli 2018 de 270 miljard dollar met meer dan 1.700 actieve projecten! Aanvallers die van deze projecten gebruikmaken, kunnen hier dus heel veel geld mee verdienen. Zo wordt crypto-mining nog aantrekkelijker dan de ransomwarecampagnes die tot voor kort nog favoriet waren.

Ook is cryptojacking recent mainstream geworden doordat het voor cybercriminelen en webmasters veiliger is dan ransomware, waarvoor interactie met het slachtoffer nodig is om de betaling in te winnen. Omdat cryptojacking browser-based is, is deze manier van besmetten eenvoudiger dan het hacken van servers. En hoe resources-intensiever crypto-mining wordt voor wat betreft computerkracht en benodigde elektriciteitsverbruik, wordt het stelen van die resources voor aanvallers steeds verleidelijker.

Cryptojacking en Monero

Monero (XMR), een relatief nieuwe cryptovaluta, is steeds vaker het doelwit van cryptojacking-aanvallers. Dat komt doordat zijn mining-algoritme (CryptoNight) is ontworpen voor snelle integratie en omdat de privacy- en anonimiteitsfuncties hiervan ook gunstig zijn voor hackers. Monero’s proof-of-work mining-algoritme kan gebruikt worden met desktop- of server-grade CPU’s in plaats van op maat gemaakte gespecialiseerde ASIC- of GPU-hardware die nodig is voor traditionele coin-mining-algoritmes. Dit is een belangrijk aspect van de nieuwe generatie cryptovaluta: het wordt gedecentraliseerd en voorkomt dat een klein aantal gebruikers met toegang tot gespecialiseerde hardware een mining-monopolie creëert. Vanuit het standpunt van de aanvaller is de mogelijkheid om aanzienlijke winst te behalen met desktop-grade CPU’s met extra privacy een lucratieve optie.

Besmettingen

Security-onderzoeksblog Bad Packet Reports publiceerde onlangs een artikel waarin staat dat momenteel meer dan 100.000 sites zijn besmet met cryptojacking-malware. De meeste van die sites lijken besmet met een exploit voor de Drupalgeddon 2. De aanval maakt gebruik van de kwetsbaarheid CVE-2018-7600, zelfs nu de patch al enkele maanden beschikbaar is. Altijd regelmatig patchen, dus! Er zijn meldingen van malwarecampagnes die gebruikmaken van een recent uitgegeven exploit voor deze kwetsbaarheid om slachtoffers te besmetten en coin-mining-scripts te injecteren. Wanneer een gebruiker deze besmette sites bezoekt, draagt hun systeem zonder dat zij het weten bij aan het oplossen van een cryptopuzzel waar aanvallers weer van profiteren.

Om gebruikers te beschermen tegen verlies van hun computingresources via ongeautoriseerde coin-mining-scripts die op hun computer worden uitgevoerd, moeten zij toegang tot onderstaande populaire coin-mining-services blokkeren:

  • coinhive[.]com
  • load[.]jsecoin[.]com
  • crypto-loot[.]com
  • coin-have[.]com
  • ppoi[.]org
  • cryptoloot[.]pro
  • papoto[.]com
  • coinlab[.]biz

Browser-extensies helpen crypto-mining-dreigingen ontdekken

Inmiddels zijn er diverse browserextensies op de markt die gebruikers beschermen tegen browser-based coin-mining-aanvallen, waaronder de BrowserCheck CoinBlocker van Qualys. Crypto-mining blijft echter niet beperkt tot browser-based scripts; we hebben diverse aanvallers gezien die systemen besmetten voor crypto-mining met persistent malware die buiten de browser om draait. Om dit soort malware te helpen ontdekken, kunnen securityprofessionals gebruikmaken van oplossingen waarmee ze binnen twee seconden inzicht krijgen in coin-mining en andere malware in hun hele organisatie.

Crypto-mining is een opkomende online dreiging die naar verwachting verder zal toenemen doordat digitale valuta en blockchain-technologieën breder geaccepteerd worden. Aanvallers maken gebruik van diverse technieken om systemen van nietsvermoedende gebruikers te gebruiken voor malafide doeleinden. Het advies voor gebruikers is dan ook om systemen regelmatig op kwetsbaarheden te scannen en zichzelf met behulp van browser-extensies te wapenen tegen crypto-mining-aanvallen.