Immer häufiger betreiben Hacker XMR-Mining auf gekaperten Cloud-Servern. Doch das ist ziemlich teuer - zumindest für die Betreiber.
XMR-Mining auf gekaperten Cloud-Servern wird unter Hackern immer beliebter, da sich die Kryptowährung nur schwer zurückverfolgen und auf regulären CPUs effizient schürfen lässt. Dennoch stehen Kosten und Nutzen in einem denkbar schlechten Verhältnis zueinander. Zumindest für die Betreiber der Server.
Jeder durch XMR-Mining verdiente Dollar kostet das Opfer mindestens 53 Dollar
Angriffe auf Cloud-Server, um diese anschließend für das Schürfen von Kryptowährungen zu missbrauchen, erfreuen sich unter Hackern zunehmender Beliebtheit. Kein Wunder, so lässt sich durch das Mining schließlich jede Menge Geld verdienen. Doch laut Schätzungen der Sicherheitsforscher von Sysdig ist das Kosten-Nutzen-Verhältnis dabei denkbar schlecht. Denn auf jeden Dollar, den die Angreifer durch das Mining erhalten, müssen sie Systemressourcen im Wert von 53 US-Dollar kapern.
Insbesondere die datenschutzorientierte Kryptowährung Monero (XMR) verspricht durch effektives Mining auf handelsüblichen CPUs die größten Gewinne. Das macht sich auch die neuartige Shikitega Malware zunutze, die es mit der Mining-Software XMRig primär auf Linux-Systeme abgesehen hat, wie wir erst vor wenigen Wochen berichteten. Die Tatsache, dass sich XMR nur schwer zurückverfolgen lässt, macht den Token für Hacker besonders attraktiv.
TeamTNT als Beispiel für Berechnung der Mining-Kosten
Bei der Ermittlung finanzieller Schäden durch Kryptomining-Angriffe haben die Forscher von Sysdig ihre Aufmerksamkeit auf TeamTNT gerichtet. Dabei handelt es sich um einen der bekanntesten Bedrohungsakteure in diesem Segment. „Er ist seit Jahren aktiv und hat mindestens 8.100 US-Dollar in direkt zugewiesenen Kryptowährungen verdient„, erklären die Sicherheitsforscher. Sie gehen davon aus, dass es sich lediglich um eine einzelne Person handelt, „die mit skriptgesteuerten Angriffen Gelegenheitsziele kompromittiert und dabei Fehlkonfigurationen und ungepatchte Sicherheitslücken ausnutzt.„
Bei einer der größten Kampagnen von TeamTNT waren laut BleepingComputer über 10.000 Endpunkte betroffen. Und obwohl der Angreifer versuchte, durch Einsatz eines XMRig-Proxys seine Wallet-Adressen zu verbergen, konnten die Forscher eine Stichprobe von 10 Wallet-IDs ausfindig machen, die zusammen 39 XMR beinhalteten, was rund 8.120 US-Dollar entspricht. Die Kosten hingegen, die dem Opfer des Angriffs durch das Mining entstanden waren, schätzte das Sysdig-Team auf 429.000 US-Dollar. Jeder geschürfte XMR-Token kostete den Server-Betreiber also 11.000 US-Dollar.
„Es gibt viele mögliche Konfigurationen, um die Kosten einer EC2-Instanz zu erhöhen, wie z. B. das Hinzufügen von zusätzlichem RAM oder Speicher, aber 11.000 US-Dollar ist der Mittelwert der Kosten über viele verschiedene getestete Konfigurationen.“
Sysdig
Tatsächlicher Schaden dürfte noch weitaus größer sein
Tatsächlich fallen die Kosten eines Mining-Angriffs sogar noch höher aus. Denn einige Faktoren haben die Forscher in ihrer Schätzung gar nicht berücksichtigt. Darunter fallen beispielsweise Hardwareschäden, mögliche Unterbrechungen der Online-Dienste oder sonstiger Geschäftstätigkeiten der Opfer sowie die Kosten von infolge eines Angriffs eingeleiteten Maßnahmen.
Es lohnt sich also Cloud-Instanzen stets mit neusten Sicherheitsupdates zu versorgen und Zeit in eine sichere Systemkonfiguration zu investieren, um einem Mining-Angriff vorzubeugen.
