Redactie - 22 oktober 2018

Misbruik van cryptocurrencies: van delven tot gegevensgijzeling

Vorig jaar tijdens de rush op cryptocurrency zagen we ook de opkomst van cryptocurrency-malware. Over deze malware, ontworpen om op illegale wijze cryptocurrency-munten te verzamelen, wordt gezegd dat het aan populariteit ingeboet heeft. Maar niets is minder waar. Volgens eigen onderzoek zijn er wereldwijd momenteel 3.321 mining pools. Dit zijn actieve stromen die leiden naar plekken waar illegaal gedolven cryptomunten worden opgeslagen. Er bestaan zelfs ‘legitieme’ aanbieders die kant en klare pakketten aanbieden die het minen van cryptomunten als een SaaS-oplossing mogelijk maken. 

In het begin van de cryptocurrency rush zagen we traditionele malware met cryptomining-functies naar voren komen. Deze vorm was echter makkelijk te detecteren door de gebruiker en verloor daarmee aan populariteit onder cybercriminelen. Al snel werd duidelijk dat Bitcoin in de malwarewereld uiterst interessant kon zijn in combinatie met ransomware-malware. Cybercriminelen konden systemen hacken, malware gebruiken om bestanden te versleutelen en vervolgens Bitcoin-betalingen vragen waarbij hun identiteit lastig te achterhalen was. Het bekendste voorbeeld hiervan is het WannaCry-virus. Deze vorm van cryptomalware is nog steeds springlevend en in ontwikkeling.  

Webmining-malware 

Tegenwoordig zien we steeds meer varianten van webmining-malware. Sommige cryptocurrencies, zoals bijvoorbeeld Monero, kunnen via de browser worden 'gemined'. Criminelen injecteren scripts in websites, waardoor de bezoekers zonder dat zij het doorhebben deze munten delven. Zodra en zolang een bezoeker een geïnfecteerde site bezoekt, wordt de kracht van zijn of haar computer gebruikt om de cryptomunten te delven. Sluit de bezoeker de website, dan stopt het delven weer. Deze manier van cryptomunten delven biedt de criminelen meer anonimiteit. Transacties en exacte bedragen zijn bijvoorbeeld niet zichtbaar.

Toen de inzet van deze tactiek omhoogschoot is de cybersecuritywereld aan de slag gegaan om deze dreiging in te perken en bedrijfsbelangen te waarborgen. Door het onderzoeken van diensten als Coinhive en vooral de web- of IP-adressen waar de Monero-munten naartoe werden gezonden, kon in kaart worden gebracht welke domeinen en diensten geblokkeerd dienden te worden op netwerkniveau. Dit was een goede stap vooruit. Daarnaast zijn populaire browserextensies voor het blokkeren van advertenties aan de slag gegaan en hebben zij waar mogelijk ondersteuning toegevoegd voor het blokkeren van de malafide code, die de besmette websites bevatten. Eindresultaat: veel simpele malware werd snel onschadelijk gemaakt.

Misbruik van cryptocurrencies

We zitten nu net na de eerste grote piek van deze vorm van cybercriminaliteit waar misbruik wordt gemaakt van cryptocurrencies. Deze vorm zal echter niet snel verdwijnen, zolang er geld mee verdiend kan worden en het tegenover andere criminele activiteiten een relatief veilige manier van opereren is. Slimmere malware zal op de radar verschijnen als de koersen van de cryptomunten weer gaan stijgen. Immers, als er meer geld te behalen valt dan kunnen er grotere investeringen worden gedaan ten aanzien van de ontwikkeling van malware.

De toekomst

Welke vorm van misbruik kunnen we nog in de toekomst verwachten? IoT-apparaten worden vaker een doelwit. Dit komt voornamelijk door de slechte beveiliging die deze apparaten over het algemeen hebben. De rekenkracht is echter beperkt en het zal dus echt een 'massa = kassa' ontwikkeling worden. Hoe kunnen deze apparaten dan beveiligd worden? Fabrikanten moeten blijven testen en hun producten van beveiligingsupdates blijven voorzien.

Criminelen zitten nooit stil en er zullen dus meer creatieve manieren worden bedacht om via cryptocurrencies illegaal geld te verdienen. Denk aan software die sleutels van bijvoorbeeld Bitcoin-rekeningen probeert te achterhalen. Deze informatie is anno 2018 waardevoller dan de inlogcode van een bankrekening. Zolang deze vorm van cybercriminaliteit de criminelen veel privacy biedt en er genoeg te verdienen valt, zullen cybercriminelen niet stoppen met het bedenken van nieuwe manieren om misbruik te maken van de cryptocurrencies. 

Mijn laatste tip: bescherm jezelf tegen webmining door het installeren van een browserextensie als uBlock Origin, NoScript of een goede AdBlocker, deze helpen je beschermen tegen malafide scripts op websites.

Door: Jordi Scharloo (foto), Malware Intelligence Specialist bij RedSocks Security

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024