Val niet ten prooi aan cryptojacking: vijf tips
Bij een cryptojacking-aanval heeft een hacker het gemunt op de rekenkracht die je bedrijf ter beschikking heeft. De hardware van een computer of server wordt door de malware misbruikt om digitale munten zoals Monero te genereren voor rekening van de hacker. Dat proces is erg complex en vereist naast rekenkracht ook heel wat elektriciteit. Cryptojacking heeft zo niet alleen een direct effect op de hardware, maar ook op je elektriciteitsrekening.
De malware zal eerst en vooral alle beschikbare systeembronnen van de getroffen server gebruiken. Die vertraagt onder de zware werklast waardoor de reguliere applicaties slecht beginnen functioneren, wat dan weer een impact heeft op de productiviteit van je werknemers. In het slechtste geval gebruik je de getroffen server om diensten aan klanten aan te bieden, zodat ook zij een dip in de dienstverlening ervaren.
Voorkomen is nog steeds beter dan genezen. Om je te wapenen tegen cryptojackers, hou je best vijf maatregelen in het achterhoofd.
1. Updaten, updaten en nog eens updaten
Frequent updates uitvoeren is en blijft een uitstekend idee. Je beschermt je infrastructuur ermee tegen alle types van digitale aanvallen, inclusief cryptojacking. Het is in de praktijk helaas niet realistisch om 100 procent in real time updates uit te rollen. Er spelen immers andere factoren mee, zoals eventuele downtime die je wil voorkomen, of compatibiliteitsproblemen. Bovendien kan een up-to-date-systeem je niet beschermen tegen kwetsbaarheden waar fabrikanten nog geen weet van hebben, maar aanvallers misschien al wel mee aan de slag gaan.
2. Virtueel patchen met een IPS
Een intrusion prevention system (IPS) is een noodzakelijke aanvulling op je bestaande update beleid. Met de hulp van een IPS kan je een extra beveiligingslaag met zogenaamde virtuele updates toevoegen. Het systeem vormt een beschermende bubbel rond je servers en endpoints, waar het de netwerktrafiek analyseert. Malware-aanvallen zijn doorgaans eenvoudig te herkennen aan het netwerkverkeer dat ze met zich meebrengen. De IPS kan een aanval zo detecteren en afblokken. Is een achterliggende server of endpoint nog niet voorzien van de recentste updates, dan kan dat geen kwaad. De IPS stopt de hacker immers voor hij tot aan de achterpoort kan raken.
Om cryptojacking te stoppen is een IPS bijzonder effectief. De mining-malware moet immers in constante verbinding staan met de blockchain van de munt die de hacker probeert te verdienen. Wanneer een IPS die verbinding blokkeert, kan cryptojacking-malware niet langer functioneren.
3. Zero-day-bescherming
De (vermoedelijk Chinese) hacker achter de XMRig-cryptomalware slaagde er in maar liefst drie miljoen dollar te vergaren in amper anderhalf jaar tijd. Monsterwinsten liggen voor het rapen voor wie er in slaagt bestaande detectiemethoden te ontwijken. Het hoeft niet te verbazen dat hackers steeds creatiever worden, waardoor conventionele systemen het moeilijk krijgen om aanvallen te herkennen en te blokkeren.
Het efficiëntste wapen tegen die steeds beter vermomde malware is sandboxing. Die technologie werkt niet op basis van signatures om malware te herkennen. Het is het gedrag van de schadelijke software dat centraal staat. Door te cryptomunten te minen geeft de malware zich prijs, hoe goed de vermomming waarachter hij zich verschuilt ook is.
4. Opgelet voor de cloud
Meer dan endpoints of on premise-servers is cloud infrastructuur kwetsbaar. Voor een aspirant-cryptohacker is er immers geen beter doelwit dan een cloudserver waarvan de capaciteit automatisch mee schaalt wanneer er meer rekenkracht nodig is.
Vaak hoeft een aanvaller niet meer te doen dan de inloggegevens voor een account te raden. Een goed wachtwoord en extra beschermingsmaatregelen zoals tweefactor authenticatie zorgen meteen voor een extra moeilijk te doordringen beveiligingslaag.
5. Houd een oogje in het zeil
Je kan een cryptojacking-aanval eenvoudig zelf spotten als je weet waar je moet kijken. De malware gebruikt per definitie heel wat rekenkracht. Door het CPU-verbruik van een server of endpoint in de gaten te houden, kan je snel ongeoorloofde pieken identificeren en maatregelen nemen. Dat is natuurlijk een arbeidsintensief proces dat moeilijk schaalbaar is naar grote IT-omgevingen. Een geautomatiseerd systeem dat met je mee kijkt en je een waarschuwing stuurt wanneer het iets verdachts opmerkt, is in dit geval de ideale oplossing.