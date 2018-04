Bedrijven zijn gespitst op tekenen dat er kritieke data wordt gestolen of versleuteld met ransomware. Cryptojacking gaat iets stiekemer te werk en het kan lastig zijn voor bedrijven - ook antivirussoftware heeft hier vaak nog moeite mee - om de malafide software op te merken. De schade kan wezenlijk zijn, maar valt niet altijd even goed op.

Schade hardware

De schade kan een onmiddellijke financiële impact hebben als de cryptominende software cloudinfrastructuren infiltreert of je energierekening verhoogt. Het kan ook productiviteit en prestaties van het bedrijf verlagen door machines te vertragen. "Met CPU's die niet specifiek zijn gebouwd voor minen, kan je hardware schade oplopen", zegt Flashpoint-analist Carles Lopez-Penalver. "Ze kunnen hittebeschadiging oplopen of trager draaien."

Omdat we nog steeds in de beginperiode van crytpojackers zitten, is het vaak zo dat als een bedrijf één van deze applicaties opmerkt, er waarschijnlijk vier of vijf anderen langs de monitoring glippen, zegt hij. "Als er iets is om cryptominers tijdig op te merken en tegen te houden, zou het zoiets zijn als een goed getraind neuraal netwerk", aldus Lopez-Penalver.

Netwerklaag

Dat is dan ook precies waar sommige beveiligingsbedrijven zich nu op richten. Met kunstmatige intelligentie en machine learning wordt gekeken naar nieuwe afwijkende gedragingen, zodat aanvallen worden opgemerkt door de software die in principe niet eerder zijn gezien. In de regel hebben beveiligingsproducten tot nu toe meer een reactieve houding gehad.

Veel leveranciers richten zich op de netwerklaag om cryptomining te detecteren. "Detectie op de endpoint is op het ogenblik lastig", weet Alex Vaystikh, CTO bij SecBI Ltd. "Het kan op alles zitten van mobiele apparaten, tot IoT-gadgets, tot laptops, tot desktops en tot servers. Het kan bewust worden ingezet of per ongeluk. Het is ontzettend breed."

Verkeer onderscheiden

Alle cryptojackende malware heeft één gedeeld kenmerk, legt Vaystikh uit. "Om cryptovaluta te minen moet je kunnen communiceren om nieuwe hashes te ontvangen en na het uitrekenen daarvan te versturen naar de servers en ze in de juiste wallet te plaatsen." Dat betekent dat de beste manier om cryptominers op te merken ligt in het monitoren van netwerkverkeer voor dit soort activiteiten.

Helaas is het nog niet zo eenvoudig om dit verkeer te onderscheiden van andere vormen van communicatie. De daadwerkelijke berichten over en weer zijn vrij kort en makers van cryptojackende malware gebruiken verschillende obfuscatietechnieken om de communicatie te verbergen.

"Het is ongelooflijk moeilijk om een regel of iets dergelijks te ontwerpen om dit verkeer uit te sluiten", zegt Vaystikh. "Daarom kunnen niet veel bedrijven het detecteren. Vrijwel iedere organisatie met meer dan 5000 werknemers heeft de daarvoor vereiste gegevens al, maar het is erg moeilijk om door deze enorme berg data te pluizen."