Crypto mining in bedrijfsnetwerken – onderschat risico?

Toen jaren terug voor het eerst werd gesproken over crypto geld was al duidelijk dat meer compute power garant stond voor het eerder verkrijgen van de digitale valuta. Inmiddels zijn we bekend met het verschijnsel mining farms en minder legale manieren om cryptogeld te creëren. Sophos wijst de markt op het gevaar dat bedrijfsnetwerken lopen hiervoor misbruikt te worden.

Om aan cryptogeld te komen is het nodig over veel computer power te beschikken. Die hardware vergt steeds grotere investering en het stroomverbruik is ook een serieus punt van aandacht. Cybercriminelen zijn er heel snel achter gekomen dat ze deze kosten niet hoeven te maken. Als ze toegang weten te krijgen tot servers of desktops is het mogelijk onschuldigen op de te zadelen met de kosten en de overlast (hoge stroomrekening, loeiende fans, lage performance).

Mining slaves

Dat is wat nu ook al jaren wordt waargenomen. Op de bekende manieren worden vooral eindgebruikers als doelwit gezien. Het is de simpele rekensom van de grote getallen. Veel desktops zijn slecht beveiligd, het is betrekkelijk makkelijk daar een paar promillepunten van te besmetten. In absolute aantallen uitgedrukt is dan al snel van tienduizenden computers sprake. Als die allemaal worden ingezet voor crypto mining als “mining slaves” dus kan dat voor een niet onaardige bron van inkomsten zorgen, zonder dat er noemenswaardige kosten tegenover staan.

Kantoornetwerken

Desktops besmetten en overnemen is makkelijk, maar heeft wel een paar nadelen. De kwaliteit van de machines is zeer wisselend. Afhankelijk van het land waar ze staan en de ISP die de verbinding verzorgt, kan de detectie van mining scripts ook nog eens heel snel opvallen. Dan is het snel einde exercitie en moeten niet slachtoffers worden gevonden. Het zou dus voor de cybercriminelen makkelijker zijn als ze zakelijke verbindingen en de achterliggende hardware konden overnemen. Daar is sprake van een hogere standaardisatie graad en modernere hardware. Ook praktisch is dat de inzet van die machines makkelijker voorspelbaar is, waardoor kans op de ontdekking weer kleiner is.

Sophos

Bovenstaande scenario is geen theoretische. Sophos heeft een paar dagen terug de bevindingen gepubliceerd over een crypto mining aanval die zich uitsluitend richt op kantoornetwerken van enterprises. In de post staat de werking van de Lemon_Duck malware uitgebreid beschreven. Sophos claimt in staat te zijn dit type besmetting te signaleren en te neutraliseren. Dat is natuurlijk fijn voor alle Sophos gebruikers. Dat in de statistiek Nederland niet voorkomt is ook prettig (zie illustratie van Sophos).

Onderschat

Het betreft hier een soort malware waarvan de werking lang niet iedereen zal opvallen. Iedere gebruiker zal ransomware herkennen. Een systeembeheerder focust altijd op datatraffic. Het is echter lang niet zeker dat iedereen weet dat crypto mining in de kantooromgeving kan bestaan en dat er dus malware actief is om dit type doelwitten gericht aan te vallen. Dit zou wel eens een onderschat risico kunnen zijn. Onderschat bij de gebruikers en goed ingeschat door de aanvallers.