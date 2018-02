Een uitdaging voor IT: bestrijden van malware die geen malware is.

Cryptojacking is het ongeautoriseerde gebruik van de computer van iemand anders om cryptovaluta te minen. Criminelen doen dat door gebruikers op een malafide link te laten klikken of een website te infecteren met JavaScript-code om bezoekers het werk te laten doen met hun browser. Dit laatste gebeurde deze maand nog met duizenden websites van onder meer Britse overheidsdiensten.

Groei van miners

In beide gevallen werkt de cryptojackende code op de achtergrond en wordt CPU-kracht, werkgeheugen en bandbreedte van de nietsvermoedende gebruiker ingepikt. Soms werkt de code zelfs door als de browser is gesloten. En een gebruiker vraagt zich wellicht af waarom de computer opeens zoveel trager is geworden.

We hebben (nog) geen exacte cijfers over hoeveel cryptovaluta wordt gegenereerd door cryptojackers, maar het is duidelijk dat dit een forse groeimarkt is. Browsergebaseerde crypptojacking is in opkomst. Adguard meldde in november al een groei van 31 procent bij browsers die gekaapt worden om valuta te maken.

In zijn onderzoek vond Adguard 33.000 websites die scripts hiervoor draaiden die gezamenlijk een miljard bezoekers per maand trokken. Eerder deze maand vond het Bad Packet Report 34.474 sites die Coinhive draaiden, een populaire JavaScript-miner die ook door legitieme miners wordt gebruikt, maar ook regelmatig opduikt bij websites die geen mining-plannen hadden.

Scripts en botnets

"Cryptomining staat in de kinderschoenen en er is veel ruimte voor groei en evolutie", zegt WatchGuard Technologies-analist Marc Laliberte. Hij merkt op dat Coinhive makkelijk is in te zetten en in zijn eerste maand zo'n kwart miljoen euro aan valuta aanmaakte. "Sindsdien is het flink gegegroeid. Het is echt makkelijk geld verdienen."

In januari merkten onderzoekers cryptominend botnet Smominru op, dat meer dan een half miljoen machines had ingelijfd, voornamelijk in Rusland, India en Taiwan. Het botnet richtte zich op Windows-servers om Monero te minen.

Beveiligingsbedrijf Proofpoint schat dat het botnet daarmee inmiddels meer dan 3 miljoen euro heeft verdiend. Je hebt er niet eens uitgebreide vaardigheden voor nodig. Toolkits om te starten met cryptojacking kosten nog geen drie tientjes op het dark web, zo staat te lezen in een rapport van Digitial Shadows.

De simpele reden waarom dit populair is, is vanwege meer omzet tegen een lager risico. "Criminelen zien het als een goedkoper en winstgevender alternatief voor ransomware", zegt SecBI-CTO Alex Vaystikh. Met ransomware heb je misschien een rendement van 5 procent van betaling van de geïnfecteerde computers - en dat daalt nu mensen meer op ransomware gespitst zijn. Met cryptojacking heb je een rendement van 100 procent. "Daarmee heeft de aanvaller dezelfde omzet als met de vijf betalers, maar dan met een constante stroom inkomst", legt hij uit.

ROI hoog, risico laag

Daarnaast is het risico lager om gepakt te worden. Cryptominende code kan lange tijd onopgemerkt blijven en als het wel wordt gevonden, is het lastig om de bron ervan vast te stellen. Omdat er niets gestolen of versleuteld is, hebben slachtoffers ook weinig stimulans om veel moeite te doen om de dader op te sporen.

Aanvallers minen het liefst cryptovaluta die zijn ontworpen met privacy en anonimiteit als doel. Daarom worden er minder Bitcoins gemined en zie je vaker dat de aandacht uitgaat naar valuta met ingebouwde mixingprotocollen en andere anonimiserende technieken, zoals het geval is bij Zcash of Monero.

