Der russische IT-Security-Anbieter Kaspersky hat nach eigenen Angaben zwei Botnetze identifiziert, die auf Kosten ihrer Opfer heimlich Kryptowährung wie etwa Zcash oder Monero generieren. IT-Sicherheitsexperten des Herstellers haben die beiden Netzwerke, die aus 4.000 beziehungsweise 5.000 Rechnern bestehen, entdeckt. Diese sollen den Besitzern monatlich mehr als 30.000 Dollar beziehungsweise über 200.000 Dollar im Monat generieren.

Die entdeckten Minter-Botnetze bestehen laut Kaspersky aus mit Malware infizierten Rechnern, auf denen Cyberkriminelle heimlich legitime Programme zum Generieren virtueller Währungen installiert haben. Die Verbreitung der Mining-Software findet laut Kaspersky über Adware-Programme statt, die die Opfer oft freiwillig installieren. Nach der Installation der Adware lädt diese automatisch die schädliche Komponente, den Mining Installer, nach und installiert diesen.

Darüber hinaus versucht die Schadsoftware auf den Opfergeräten laut Kasperksy die Sicherheitssoftware zu deaktivieren. Weiter tracke sie Anwendungsstarts und setze die eigene Aktivität aus, sollte ein Programm zur Überwachung von Systemaktivitäten oder laufenden Prozessen gestartet werden. Zudem finde sich auf der Festplatte eine Kopie der Mining-Software, die im Falle des Löschens wieder hergestellt werden kann.

Sobald die ersten Coins der Währung abgebaut sind, transferiert die Software diese vom Opfer unbemerkt zu den Wallets der Kriminellen. Betroffene Nutzer stellen lediglich fest, dass der Computer langsamer arbeitet und mehr Strom als üblich verbraucht, so Kasperksy. Derzeit sollen die Kryptowährungen Zcash un Monero bei den Kriminellen beliebt sein. Bei beiden Währungen lassen sich die Transaktionen und die Wallet-Besitzer zuverlässig anonymisieren.

Ursprünglich lassen sich Coins der Kryptowährungen über legitime Mining-Programme gewinnen, was sich mittlerweile jedoch als sehr zeit- und stromintensiv gestaltet, so Kaspersky. Durch das aufwendigere Mining könne das schürfen von neuen Coins die Investitionen und damit den potenziellen Gewinn übersteigen, wie es derzeit bei Bitcoins der Fall ist. Daher interessieren sich Cyberkriminelle für Bitcoin-Alternativen, die dafür heimlich Mining-Software auf tausend von Rechnern installieren.

Waren es im Jahr 2013 laut Kaspersky noch 205.000 Nutzer, die Opfer eines heimlich installierten Kryptowährungs-Miners wurden, stieg die Anzahl der betroffenen User 2014 bereits auf 701.000. In den ersten acht Monaten dieses Jahres wuchs die Zahl der attackierten Nutzer auf weltweit 1,65 Millionen an (siehe Grafik).

Lösungen von Kaspersky entdecken und blockieren nach Angaben des IT-Sicherheitsanbieters die maliziöse Mining-Software als Risk.Tool.Win32.BitCoinMiner.hxao und PDM:Trojan.Win32.Generic.

Die Analyse „Miners on the Rise” ist unter securelist.com/miners-on-the-rise/81706/ abrufbar. Weitere Informationen finden sich unter www.kaspersky.de.

Timo Scheibe ist Redakteur bei der LANline.