Immer mehr Leute werden zu Monero-Minern, ohne dass sie etwas davon wissen. Hacker verklaven andere Computer in Botnets und schicken sie in die Monero-Mine. Die Praxis ist schon so verbreitet, dass die Rede umgeht, die Mining-Malware werde die neue Ransomware. Ist das nun gut oder schlecht?
Stellen Sie sich vor, Ihr Computer arbeitet wie verrückt, und Sie wissen nicht, warum. Der Prozessor ist am ächzen, der Arbeitsspeicher ist voll, und der Lüfter dröhnt. Obwohl Sie gar nichts machen.
Oft steht im Hintergrund eine Malware, die Ihr Gerät infiziert hat und Rechenleistung absaugt, um etwas zu machen, irgendetwas. In letzter Zeit steht das „irgendetwas“ immer öfter dafür, dass die Geräte Monero minen. Solche Botnets, die Kryptocoins schürfen, wurden in den letzten Monaten zur Massenerscheinung. Manche Sicherheitsforscher gehen sogar davon aus, dass sie in diesem Jahr weiter verbreitet werden als die Ransomware. Und die wurde in den letzten Jahren zu einer Massenplage, die wieder und wieder für Schlagzeilen gesorgt hat.
„Nachdem der Wert von Kryptowährungen explodiert ist“, schreibt ein Analystenteam von Talos, „wurden mit Mining verwandte Angriffe zu einer bevorzugten Praxis vieler Hacker, denen es dämmert, dass sie damit all die finanziellen Vorteile anderer Angriffe, wie von Ransomware, wahrnehmen können, ohne mit den Opfern in Kontakt treten zu müssen und ohne die extreme Aufmerksamkeit der Strafverfolgung zu provozieren, die Ransomware gewöhnlich begleitet.“
Wie gewohnt schleusen die Angreifer eine Datei auf den Rechner ihrer Opfer, etwa durch eine vielversprechende Bewerbungs-Email. Zum Glück für die Opfer werden nun nicht, wie bei der Ransomware, alle Daten auf der Platte verschlüsselt, sondern es wird ein kleines Programm installiert, das nach Moneros sucht. Der Botnet-Betreiber wird damit zum Mining-Pool, und die Geräte die unfreiwilligen Arbeiter. Ein attraktives Ziel sind, schreiben die Talos-Analysten, Geräte am Internet der Dinge, da sie oft nur sporadisch gewartet werden und in der Masse eine Menge Rechenleistung zusammenbringen.
Die absolut bevorzugte Währung dieser Botnets ist Monero. Die Gründe sind naheliegend: Der Mining-Algorithmus ist Asic-resistent und bevorteiligt Grafikkarten nur schwach. Dies macht ihn für CPU-Miner, wie es Botnets in der Regel sein müssen, relativ profitabel. Als Bonus ist Monero noch besonders anonym. Die Kombination von Ring-Signaturen und Confidential Transactions sorgt für das höchste Maß an Privatsphäre, das man derzeit im Kryptoraum findet. Die illegal geschürften Coins waschen sich sozusagen von selbst.
Die Talos-Analysten stellen fest, dass Mining-Botnets ziemlich lukrativ sein können. „Um es finanziell einzuorden – ein normales System kann am Tag etwa 25 Dollar-cent an Monero einnehmen, was bedeutet, dass ein Angreifer, der sich 2.000 Opfer genommen hat (keine große Sache), am Tag 500 oder im Jahr 182.500 Dollar generieren kann.“ In der Wirklichkeit findet man deutlich größere Botnets. „Talos hat schon Botnets beobachtet, die aus Millionen von infizierten Systemen bestehen, was nach allem, was wir bisher festgestellt haben, bedeutet, dass man diese Systeme nutzen kann, um theoretisch mehr als 100 Millionen Dollar im Jahr zu verdienen.“
Tatsächlich haben sich schon Botnets in dieser Größenordnung gebildet, die Moneros minen. Am 1. Februar berichtet Bleeping Computer vom Smominru Botnetzs, das angeblich aus mehr als 526.000 Geräten besteht, die meisten davon Windows Server. Das Botnetz habe schon über 8.900 Monero geschürft, was zu diesem Zeitpunkt mehr als 2 Millionen Dollar entsprach. Die meisten Opfer stammen aus Russland, Indien, Taiwan, der Ukraine und Brasilien. Damit ist Smominru doppelt so groß wie das Adylkuzz Botnetz, welches bisher das größte Monero-Botnetz war. Wie dieses nutzt Smominru die Eternal Blue Schwäche aus, die lange von der NSA geheimgehalten und benutzt wurde, bis sie schließlich von den Shadowbrokers veröffentlicht wurde. Seitdem wird sie oft für Ransomware ausgenutzt, etwa bei der WannaCry Pandemie.
Nur wenige Tage später, am 5. Februar, berichtet das Magazin schon vom nächsten aufstrebenden Botnetz: „Am Wochenende erschien ein neues Botnetz auf der Bildfläche, und es greift Andoid-Geräte an, indem es nach offenen Ports sucht, um die Opfer mit einer Malware zu infizieren, die Monero erzeugt.“ Das Botnetz entstand erst am vergangenen Samstag. Bisher scheint es aus nur etwa mehr als 7.000 Geräten zu bestehen, doch es wächst rasant. Die meisten Opfer sind aus China und Südkorea, betroffen sind vor allem Fernsehgeräte.
Für Monero hat dies merkwürdige Folgen. Während auf der einen Seite der Preis wie bei derzeit allen Kryptowährungen fällt, steigt die Hashrate weiter an. Die Botnets heben die für Kryptowährungen übliche Verbindung zwischen Mining und Stromkosten auf, da es für den Hacker keine Rolle spielt, wie viel seine Opfer für Strom bezahlen. Anders als andere Miner werden die Botnetze daher nicht mit dem Mining aufhören, wenn die Energiekosten den Ertrag übersteigen. Für die anderen Miner zeitigt das die deprimierende Folge, dass das Mining immer weniger lukrativ wird.
Allerdings war absehbar, dass eine CPU-freundliche Kryptowährung über kurz oder lang zum Spielball von Botnets wird. Manchen in der Monero-Community stößt dies übel auf, weil man damit das Netzwerk in die Hände krimineller Akteure legt. Andere hingegen haben kein Problem mit den Netzen aus Zombie-Rechnern – solange sich die Betreiber an die Regeln halten, helfen sie lediglich, Monero sicherer zu machen.
Bereits Satoshi Nakamoto hat sich mit dieser Frage beschäftigt. Einige Tage, nachdem er im November 2008 sein Bitcoin-Whitepaper veröffentlicht hat, kritisierte jemand, dass das Mining in die Hände von schlechten Akteuren fallen würde. Schließlich haben diese meist die größte Rechenkraft. Satoshi antwortete darauf, dasss dies an sich kein Problem sei. „Selbst wenn ein schlechter Kerl das Netzwerk überwältigt, wäre er nicht augenblicklich reich. Alles, was er erreichen kann, ist es, Geld zurückzubekommen, dass er ausgegeben hat, so, als würde man einen Scheck platzen lassen. Um das zu tun muss er etwas von einem Händler kaufen, warten, bis es versendet wurde, dann das Netzwerk übernehmen und versuchen, sein Geld zurückzubekommen. Ich denke nicht, dass er so viel damit verdienen kann, wie wenn er Bitcoins erzeugt. Mit einer Zombie-Farm in dieser Größe würde er mehr Bitcoins generieren als alle anderen zusammen. Tatsächlich könnte das Bitcoin-Netzwerk auch Spam reduzieren, indem es die Zombie-Farmen dazu bringt, stattdessen Bitcoins zu generieren.“
Und etwas ähnliches passiert derzeit, wenn die Monero-Malware die Ransomware ersetzt. Es ist natürlich nicht eben schön, wenn der eigene Rechner unfreiwillig in der Monero-Mine schuften muss. Aber es ist nicht das schlimmste, was ein Hacker mit einem Botnetz machen kann.