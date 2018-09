Net als met de ransomwareplaag, waarschuwen beveiligingsbedrijven los van de eventuele directe schade aan de eigen bedrijfsvoering ook aan de langeretermijnrisico's. Door malafide cryptominers niet te bestrijden of zelfs te gedogen, genereren criminelen die deze tools gebruiken inkomsten om andere typen winstgevende aanvallen te bekostigen, zoals het inzetten van gehuurde botnetwerken voor DDoS of de verdere verspreiding van ransomware.

Lees meer over cryptokapende software in Wat is cryptojacking en wat doe je eraan?

De Cyber Threat Alliance - een samenwerkingsverbond van onder meer McAfee, Palo Alto Networks, Symantec, Rapid7 en Cisco Talos - waarschuwt deze week in een rapport (PDF) voor de concrete risico's van malafide cryptominers. "Organisaties en individuen moeten de dreiging van heimelijke cryptomining serieus nemen, omdat de impact en onderliggende beveiligingsissues groter is dan velen beseffen", aldus het rapport. De CTA identificeert drie specifieke redenen voor bedrijven om hier hard tegen te vechten.

1. Gaten in de beveiliging

Dat er een ongewenste cryptominer draait, betekent dat iemand ofwel ongeautoriseerd toegang heeft gekregen tot het netwerk of dat iemand zijn of haar rechten misbruikt. In beide gevallen heeft de organisatie een probleem. De CTA wijst erop dat een detectie van een cryptominer slecht nieuws is voor de informatiebeveiliging, omdat een ongewenste partij een ingang heeft tot belangrijke resources.

Het is dan ook belangrijk te weten hoe de ongewenste partij toegang heeft gekregen tot het netwerk. Zo zijn in diverse aanvallen kwetsbaarheden gebruikt in back-end infrastructuur, zoals moderne bestandsloze aanvallen via beheertools als WMI en PowerShell, een aanval eerder werd uitgevoerd via de beruchte NSA-exploit in Windows EternalBlue en serverkwetsbaarheden in Rails, PHP en Microsoft IIS. De aanwezigheid van een cryptominer duidt op een zwakke plek in de beveiliging die aangepakt dient te worden.

Die deur moet worden gesloten, zo waarschuwen de beveiligers anders ga je nare effecten vroeger of later bemerken - als bijvoorbeeld bij een forse koersval het cryptominen niet meer rendabel is - als de aanvaller overstapt op een aanval die een nog grotere impact heeft op de bedrijfsvoering via zijn of haar toegang. "Aanvallen kunnen bijvoorbeeld zijn datadiefstal, wijziging van data, ransomware en andere disruptieve acties", zo stelt de CTA. En als uitsmijter: "Als de crimineel blijvende toegang heeft tot het netwerk is dat op zichzelf al een waardevolle resource: ze kunnen die toegang verhuren aan andere aanvallers."

2. Fysieke schade

De cryptovaluta die worden gebruikt voor miningoperaties zijn de native valuta van permissionless blockchains die een Proof of Work-consensusmodel gebruiken. In dat model berekenen miners de volgende hash van een blok in de huidige keten. Het resultaat dat ze zoeken is de hash van alle transacties in het nieuwe blok plus de header die de hash vormt van alle voorgaande blokken. In dit model moet een rekenpuzzel opgelost waarmee de volgende hash wordt bepaald die voldoet aan een aantal randvoorwaarden (bijvoorbeeld iets als de hash moet beginnen met een aantal nullen, zodat diverse kloppende hashes niet voldoen). Dat zorgt ervoor dat degene die het volgende blok valideert niet te voorspellen is en het netwerk eerlijk en betrouwbaar blijft.

Dat systeem blijft betrouwbaar, zolang de rekenpuzzel maar lastig genoeg is dat je niet van te voren kunt voorspellen welk volgend knooppunten een blok bepaalt en de bijbehorende cryptovaluta ontvangt. Vandaar dat de moeilijkheidsgraad van de puzzel stijgt naarmate hardware sneller wordt. Dit betekent dus dat miners rekenkracht nodig hebben. Malafide cryptominers zetten de rekencapaciteit van bedrijven in om blokken te berekenen, zodat ze voor dat resultaat worden beloond met cryptovaluta.

De opgeëiste rekenkracht kan een stevige impact hebben op zakelijke netwerken. Wildgroei aan cryptominers kan behoorlijk wat schade teweegbrengen, zo waarschuwen onderzoekers en beveiligingsdeskundigen al langer. Met name oververhitting kan een probleem zijn en dat zorgt voor een belasting van de koeling (plus de hogere kosten), beperkt de levensduur van de hardware en verhoogt de energiekosten door maximaal belastte hardware en harder werkende airconditioners. Daarbij zorgt het voor kostenverhoging in de beschikbare netwerkcapaciteit omdat in feite de prijs per Mbps stijgt, waar punt drie in feite over gaat.

Het rapport meldt dat legitieme mining-operaties al eens te veel van hun hardware eisen, maar dat de remmen helemaal losgaan bij malafide miners. De kosten zijn immers niet voor hun rekening, maar een bedrijf kan sneller hardware moeten vervangen dan gepland omdat de levensduur wordt beperkt door de doorlopende belasting. "Ventilatoren zijn het gevoeligst voor mechanisch falen. Een gebrek aan ventilatie kan vervolgens fysieke schade opleveren aan CPU en moederbord."

3. Negatieve impact op bedrijfsvoering

De reden dat bedrijven investeren in automatisering is omdat het bedrijfsprocessen versnelt, wat zich vertaalt naar een gunstigere positie ten opzichte van concurrenten. Soepele inzet van IT en efficiënte resources zijn de manieren waarop organisaties hun tech-aanpak onderscheiden. Malafide gebruik van de resources vertraagt netwerken, levert downtime en tickets op, verkort de levensduur van hardware, verlaagt de beschikbare bandbreedte en verlaagt daarmee productiviteit van werknemers terwijl de kosten stijgen.

En dat is alleen nog maar on-prem, miners azen ook op cloudresources, zoals Tesla overkwam toen AWS-instances werden ingezet voor dit doel en eerder het Nederlandse Gemalto, waar AWS-resources werden ingezet om Bitcoin-blocks te berekenen (PDF). De impact op de bedrijfsvoering op termijn is in de praktijk dus zeker merkbaar, zelfs als de directe eerste impact van de miningoperaties minimaal lijken. "Wanneer bandbreedte en CPU-resources van servers en cloudopslag worden gedomineerd door mining-activiteit kan wat begin als een parasitaire aanval snel omslaan in iets veel verstorenders."

Daarnaast is er ook nog eens de slechte PR die dit kan opleveren. Een partij die daarover mee kan praten is Tesla, waar een 'hack' (een Kubertnetes-console was niet beveiligd met een wachtwoord, waardoor de aanvallers meerdere punten van de AWS-omgeving konden benaderen) ook werd besproken in de pers. De daders deden er alles aan om detectie te omzeilen, onder meer door geen eventueel geblackliste miningpool te gebruiken, maar via een ander endpoint naar een miningpool via een CloudFlare-CDN te springen.

Adviezen voor beheerders van de verschillende beveiligingsbedrijven en deskundigen komt neer op de volgende tips: