6. April 2023 TEHTRIS DACH

Zunahme von Cryptojacking-Attacken im letzten Jahr um 86 %

Neue Cyberkampagne wirft ein Schlaglicht auf diese Angriffsvariante. [...]

Foto: Tumisu/Pixabay

Das europäische Cybersecurity-Unternehmen TEHTRIS verfügt über ein weltweites Netzwerk von sogenannten Honeypots, mit deren Hilfe Cyberkriminelle angelockt und neue Formen von Cyberangriffen frühzeitig enttarnt werden.

In den letzten Tagen konnte das Threat-Hunters-Team von TEHTRIS eine neue Cyberkampagne illegaler Cryptojacking-Aktivitäten beobachten, die es auf Linux-basierte Betriebssysteme abgesehen hatte. Die Security-Forscher von TEHTRIS veröffentlichten ihre Erkenntnisse dazu nun in einer umfangreichen Analyse.

Cryptomining wird wachsende Bedrohung

Illegales Mining von Kryptowährungen mit Hilfe fremder Endgeräte ist keineswegs eine neue Cyberbedrohung, sondern eine kriminelle Strategie mit deutlich wachsender Tendenz. So wurden 2022 durchschnittlich 15,02 Millionen Cryptojacking-Vorfälle pro Monat registriert.

Im Vorjahreszeitraum waren es hingegen durchschnittlich nur 8,09 Millionen Vorfälle pro Monat. Innerhalb von nur zwölf Monaten konnte so ein Anstieg von 86 Prozent beobachtet werden, so die Untersuchung von Top10VPN.

Die nun Mitte Januar mit Hilfe der TEHTRIS-Honeypots in Frankreich entdeckte Cryptojacking-Kampagne ist in mehrfacher Hinsicht außergewöhnlich.

So verfolgt sie zwei verschiedene Strategien, um den Zugriff auf das kompromittierte Linux-System zu maximieren. Wenn der Rechner über eine ausreichende Leistung (mehr als vier Prozessorkerne) verfügt, kommt ein Bot zum Einsatz. Dieser dient dem Cryptojacking, indem ein Monero-Miner installiert und gestartet wird, der die überschüssige CPU-Leistung ausnutzt und anschließend versucht, weitere Rechner zu infizieren.

Sofern das Endgerät jedoch nicht über die erforderliche Leistung zum Mining von Kryptowährungen verfügt, nutzen die Angreifer ihn als eine Art Brückenkopf, um Informationen über andere potenzielle Ziele zu sammeln.

Die Hintermänner hinter der aktuellen Kampagne verwenden einen Discord-Server, um Daten von kompromittierten Computern abzurufen. Sie folgen damit einem wachsenden Trend unter Cyberkriminellen, Sicherheitslücken mittels beliebter Messaging-Anwendungen zu finden.

Die Nutzung infizierter Geräte zum Sammeln von Informationen zu möglichen weiteren Zielen sorgt für zusätzliche Anonymität der Angreifer. Denn wird ein entsprechender Scan auf verschiedene fremde Computer und IP-Adressen verteilt, erschwert dies die Rückverfolgung zur ursprünglichen Quelle des Angriffs.

Wer sind die Angreifer hinter der Cyberkampagne?

Die Cyberkriminellen hinter der Kampagne nennen sich selbst „ThePatron1337“, wobei „1337“ eine wiederkehrende Zeichenfolge bei den Angriffen ist. Aus diesen Gründen hat TEHTRIS die Kampagne „Color1337“ getauft und „1337“ als Signatur der Angreifer identifiziert. Darüber hinaus enthalten die analysierten Bash-Skripte Befehle in rumänischer Sprache, was Rückschlüsse auf die Herkunftsregion der Cyberkriminellen zulässt.

Darüber hinaus gibt es auch noch ein weiteres, vielsagendes Indiz, das auf eine rumänische Herkunft hindeutet: der Name des genutzten Miners, DIICOT, der erstmals im Oktober 2022 entdeckt wurde, ist ironischerweise auch das Akronym für die rumänische Behörde zur Untersuchung von organisiertem Verbrechen, Cyberkriminalität, Finanzkriminalität und Terrorismus.

Zudem haben die TEHTRIS-Experten auch gewisse Ähnlichkeiten mit einer rumänischen Gruppe feststellen können, die hinter einer von BitDefender im Jahr 2021 enttarnten Cryptojacking-Kampagne steckt.

Dass bei der aktuellen Kampagne ein Skript auf eine Datei mit dem Titel „Update“ verweist und auch weitere Hinweise auf eine rumänische Herkunft hindeuten, legt einen Schluss nahe: Bei den von BitDefender und TEHTRIS entdeckten Gruppen handelt es sich um ein und dieselbe, die lediglich ihre Tools aktualisiert hat.

Olaf Müller-Haberland, Head of Sales and Services DACH bei TEHTRIS, betont: „Diese Cyberkampagne sollte alle Security-Verantwortlichen daran erinnern, dass Cyberkriminelle gestohlene Anmeldedaten unentwegt zu ihrem Vorteil nutzen. Obwohl sich Messaging-Apps wie Discord oder Telegram großer Beliebtheit erfreuen, werden sie zudem häufig von Unternehmen vernachlässigt. Dies äußert sich regelmäßig darin, dass Verbindungen zu diesen legitimen Diensten nicht überwacht werden. In der Folge sind Angriffe über diese Tools mit höherer Wahrscheinlichkeit von Erfolg gekrönt sind – und das, ohne dass sie gestoppt werden würden, da die Attacken unter dem Radar stattfinden. XDR-Lösungen wie die von TEHTRIS sorgen dafür, dass solche Angriffe nicht länger unentdeckt bleiben und Unternehmen dadurch ein bedeutend höheres Schutzniveau genießen.“

Die vollständigen Analyseergebnisse von TEHTRIS können Sie hier im englischen Original nachlesen.


Mehr Artikel

News

Hightech-Crime-Report: Advanced Persistent Threats setzen Europa unter Druck

3. April 2025

Mit einem Anstieg von 22 Prozent gegenüber dem Vorjahr nahmen betrügerische Machenschaften 2024 weltweit zu. Europäische Finanzdienstleister waren mit 34 Prozent aller Betrugsfälle am stärksten betroffen, gefolgt von der Transportbranche und dem Regierungs- und Militärsektor. Auch bei Phishing-Angriffen setzte sich der Aufwärtstrend fort: Mehr als 80.000 Phishing-Websites wurden 2024 enttarnt – ein Anstieg um 22 Prozent gegenüber dem Vorjahr. […]

News

Fünf Mythen über Managed Services 

3. April 2025

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

3. April 2025

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

3. April 2025 Pascal Scherrer *

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

2. April 2025 Alan Radford*

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

2. April 2025 Klaus Lorbeer

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*