Cryptojacking is niet zo onschuldig als het lijkt

Cryptojacking lijkt op het eerste oog vrij onschuldig. Er worden geen data buitgemaakt, geen geld ontvreemd, geen systemen neergehaald en geen software vernield. Toch kan cryptojacking flink wat schade aanrichten, aldus Erik Remmelzwaal, directeur van KPN Security Services en ons dochterbedrijf DearBytes. We stelden hem een aantal prangende vragen over dit groeiende fenomeen.

Wat is cryptojacking?

Net als goud en zilver zijn cryptomunten schaars. Je kunt ze kopen, maar het is ook mogelijk om ze te digitaal te delven. Dit wordt ook wel ‘cryptomining’ genoemd. “Een cryptomunt is in feite een reeks cijfers en letters, ofwel een ‘hash’. Slechts een beperkt aantal hashes (dus bepaalde combinaties van cijfers/letters) zijn coins. Een algoritme bepaalt welke volgorden ‘juist’ zijn. Cryptomining komt er simpelweg op neer dat achter elkaar reeksen worden getest tegen het algoritme, net zolang totdat er een nieuwe, unieke coin wordt gevonden”, legt Remmelzwaal uit.

Bij cryptojacking maken hackers hiervoor stiekem gebruik van andermans systemen. “Ze ‘outsourcen’ de kosten voor de stroom en de rekenkracht naar anderen en gaan er zelf met de opbrengst vandoor. Het vaakst gebeurt dat via een besmette website, voorzien van een speciaal script. Wanneer de nietsvermoedende gebruiker de website bezoekt, wordt een script gestart dat de miningprocedure uitvoert. In andere gevallen draait een stukje malware ongemerkt op de achtergrond van het getroffen systeem. Bijna ieder apparaat met een processor, netwerkverbinding en besturingssysteem is een potentieel doelwit voor cryptojackers.”

Hoe vaak komt cryptojacking voor?

DearBytes constateerde de afgelopen tijd een sterke toename van cryptojacking. Niet zo vreemd: sinds de sterke populariteitsstijging van cryptovaluta zien hackers cryptomining als een nieuwe goudmijn. “Harde cijfers bevestigen dat beeld. Zo groeide de cryptojackingmarkt in 2017 volgens onderzoek van 18 naar maar liefst 600 miljard dollar. Van alle actieve coinminers wereldwijd is 1,8 procent gedetecteerd in Nederland. We staan daarmee op de zevende plaats in Europa.”

Hoe schadelijk is cryptojacking?

Bij cryptojacking laten aanvallers in vrijwel alle gevallen aanwezige data en software ‘met rust’. Dat maakt cryptojacking nog niet onschuldig. Volgens Remmelzwaal hebben buitenstaanders niets te zoeken op systemen en apparaten van een ander. “Cryptojacking is niet zo onschuldig als het lijkt. Hierbij heeft iemand vrijwel altijd ongeoorloofd toegang tot het systeem. Eenmaal ‘binnen’ kunnen cryptojackers die toegang ook voor ernstiger zaken misbruiken, zoals datadiefstal. Dat geldt zeker voor cryptojacking waarbij malware wordt gebruikt.”

“Daarnaast maken de berekeningen van cryptomining systemen trager en verhogen ze de energierekening. Die vertragingen kunnen zelfs zorgen voor onbereikbare websites, niet of traag werkende apps of andere haperende dienstverlening. Ten slotte kan het intensievere gebruik de levensduur van je apparaten verkorten. Genoeg redenen dus om cryptojacking tegen te gaan.”

Hoe kun je cryptojacking ontdekken?

Cryptojacking is volgens Remmelzwaal niet altijd gemakkelijk herkenbaar. “Soms zijn de veroorzaakte vertragingen zo klein dat ze nauwelijks opgemerkt worden. Cryptojackers doen er alles aan om ongestoord door te kunnen gaan met minen. Sluit de gebruiker de browservensters? Dan zorgen ze er bijvoorbeeld voor dat het delven doorgaat in een klein venstertje (een ‘pop-under’) dat nauwelijks opvalt.”

Toch is cryptojacking wel degelijk op te merken. “Systeembeheerders kunnen de miningactiviteit ontdekken door processen op een systeem kritisch te monitoren. Een proces dat nog niet eerder in het netwerk is gezien, is potentieel verdacht. Het is zinvol om dat soort bestanden automatisch te laten analyseren door een sandbox. Zo worden ook virussen gevonden die nog nooit eerder op de wereld zijn waargenomen. Ook browsers die zich lastig laten afsluiten kunnen een teken zijn van cryptojacking.”

Wat zijn recente voorbeelden van cryptojacking?

Cryptojacking is volgens Remmelzwaal aan de orde van de dag. “Dagelijks vinden miljoenen aanvallen plaats. Soms op grote schaal. Zo bleken onlangs duizenden websites – onder andere van gemeenten en zorginstanties – een geïnfecteerde plug-in te bevatten. Via malafide code in BrowseAloud, een plug-in die online teksten hardop voorleest, slaagden cryptojackers erin om de processor van de bezoekers enkele uren te kapen.”

Hoe voorkom je cryptojacking?

Remmelzwaal geeft een aantal tips die de kans op cryptojacking verkleinen:

1. Vulnerabilityscanning

“Een vulnerability scan legt de zwakke plekken in de IT-omgeving of website bloot. Scanning op kwetsbaarheden of veranderingen gebeurt het beste niet ad-hoc, maar continu.”

2. Antimalware en sandboxing

“Een anti-malwareoplossing voorkomt dat cryptojackingsoftware zich nestelt op lokale systemen. Nog onbekende miningvirussen vallen door de mand door ze te analyseren in een sandbox. Dat is een grote, afgeschermde server waarin malware zijn gang kan gaan en zo zijn ware aard toont. Ook wanneer ze nog niet bekend zijn.”

3. Scannen van (draadloos) netwerkverkeer

“Het webverkeer scannen op malware en ongebruikelijke codes en monitoring op verdachte downloads. Hiervoor is wel nadrukkelijk toestemming van de gebruiker nodig, wat bij het leggen van de verbinding met de wifi kan worden gevraagd.”

4. Opdelen van het netwerk (netwerksegmentatie)

“Bij grote aanvallen zoals met WannaCry en Petya zagen we dat de malware in staat was om zichzelf te verspreiden binnen het netwerk. Dit gaan we ook zien bij miningmalware. Dan helpt het als het computernetwerk is opgedeeld in virtuele zones. Dat noemen we ook wel netwerksegmentatie. Door ‘virtuele branddeuren’ aan te brengen, sluit je malware als het ware op in een hoekje van het netwerk.”

5. Vergroten beveiligingsbewustzijn

“Wie niet klikt op verdachte links, onveilige websites vermijdt en cryptojackingactiviteit leert herkennen, verkleint de kans op besmetting. Een sterk ontwikkeld securitybewustzijn is dan ook van groot belang. Voorkomen is natuurlijk altijd beter dan genezen.”

Erik Remmelzwaal

Erik is Managing Director Security Services bij KPN. Hij is zijn carrière in 2001 begonnen bij DearBytes, waar hij ervaring heeft opgedaan als developer, securityconsultant en incident responder. In 2011 klom hij op tot CEO van DearBytes. In deze positie heeft hij DearBytes laten groeien tot een van de grootste Managed Security Service Providers van Nederland. In 2017 werd DearBytes overgenomen door KPN en werd Remmelzwaal als Director Products aangesteld. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

- Auteur: Erik Remmelzwaal

Gerelateerde artikelen