Enige tijd geleden, ergens in maart, vond een van onze CDC (Cyber Defense Center)-analisten een eenzame hacker die bitcoin mining-software installeerde op een gehackte PC. Vol verbazing keek iedereen toe: wat was die persoon van plan? Met de lage kans op slagen vandaag is het erg onwaarschijnlijk dat deze hacker ooit enige rol zou behalen op deze bitcoin mining. Waarom dan de moeite doen?
Bitcoin mining is gebaseerd op het principe dat, door het massaal verwerken van transacties, je een kleine kans maakt op het “vinden” van een bitcoin. Tegelijk draag je bij tot het behouden van de integriteit van de blockchain, wat ook het uiteindelijke doel is van je mining-inspanningen.
Ik herinner me nog goed hoe we in 2012 naar bitcoins zochten met zogeheten ‘mining pools’, waarbij verschillende ‘miners’ de krachten bundelden en de opbrengsten deelden. Zo kregen we een grote kans op een kleine beloning, in plaats van een kleine kans op een grote beloning. Eén van mijn vrienden gaf het op na drie maanden met een halve bitcoin als resultaat. Dit kostte hem een gloednieuwe NVIDIA-kaart en een factuur voor drie maanden stroomverbruik. De roi was dan ook negatief.
Vijf jaar later is de kans dat je een bitcoin “vindt” nog exponentieel gedaald. Vandaag is het immers, met dezelfde hardware, 500 maal minder waarschijnlijk dat je nog een bitcoin verdient. Toen al was de marge op deze processen bijzonder klein. Tegenwoordig wordt bitcoin mining enkel nog uitgevoerd door Chinese bitcoin mining farms. Deze farms worden opgesteld in een koude omgeving, zodat toch al zeker op koelkosten wordt bespaard. In elk geval hebben zij zo goed als een monopolie op de bitcoin mining markt.
Altcoin, het vriendelijke alternatief
Cybercriminelen waren destijds dubbel geïnteresseerd in bitcoins: het leek hen een uitstekende technologie voor het witwassen van geld, en het potentieel van mining beviel hen ook enorm. Maar al snel raakten ze teleurgesteld in de bitcoin-algoritmes en keerden ze zich naar altcoins (alternatieve crypto-valuta) zoals Litecoin, met een ‘mining-vriendelijker’ algoritme dat een hogere roi opleverde.
Al in 2013 zagen we de eerste Litecoin mining botnets opduiken, waarbij criminelen de cpu-kracht en wat bandbreedte van hun slachtoffers ‘leenden’ om Litecoins te verdienen. De slachtoffers hadden soms wel wat last van een tragere pc maar over het algemeen bleef de schade verder beperkt tot enkele euro’s stroomverbruik. Een relatief onschadelijke vorm van cybercriminaliteit, dus, zeker in vergelijking met ransomware of fraude. Daarom werd deze vorm van mining naar crypto-valuta beschouwd als misdaden zonder slachtoffers. Welk slachtoffer zou in hemelsnaam 45 eurocent aan gestolen elektriciteit aangeven bij de politie?
Dit was dus een misdaad met een lage risicofactor, maar uiteindelijk voor de meeste criminelen ook een te lage opbrengst. Botnets voor mining verdwenen vrij snel en maakten plaats voor lucratievere misdaden met een laag risico-gehalte zoals ransomware. Criminelen voelden zich beter bij het ‘krijgen’ van bitcoins van slachtoffers dan bij het minen, zo blijkt. Toch zijn enkele risico-schuwende cybercriminelen nog steeds actief op deze markt.
Mining als opstap naar de topmisdaad?
Ons CDC zag al criminelen aan het werk met een screensaver-achtige malware om Monero te minen, een andere altcoin met een vriendelijker algoritme. De Monero miner start pas bij inactiviteit van de gebruiker, en veroorzaakt dus absoluut geen vertraging voor het slachtoffer. Eén van die mining-campagnes leverde op enkele maanden in totaal zo’n zestigduizend dollar op. Niet slecht, maar slechts een fractie van wat sommige van de meest ervaren cybercriminelen verdienen.
Voor ons was het uiteindelijk vrij duidelijk: hier was een hacker aan het werk die van dit alles niet op de hoogte was. Soms zijn dingen niet meer dan ze lijken. De conclusie van ons CDC: deze eenzame hacker was een old school script kiddie, en niet eens zo’n getalenteerde. Maar deze persoon had wel toegang verkregen tot een PC en de situatie had veel erger kunnen zijn met een bedreven hacker. De PC werd in quarantaine geplaatst en opnieuw geïnstalleerd.
Crypto-valuta mining via malware lijkt een misdaad zonder slachtoffers. En zoals vaak: met zo weinig risico’s valt er ook vrij weinig te rapen. Daarom halen de topcriminelen hun neus op voor deze vorm van cybermisdaad en gaan ze liever op zoek naar iets met hoger risico en een betere ROI. Maar sommige criminelen zien hier wel nog steeds een leefbaar businessmodel in. En, zoals we ook in sportkringen zien, de topspelers in deze liga zullen uiteindelijk doorstoten tot de topklasse.
Dit betekent ook dat we hun technieken ook in de mainstream cybermisdaad zullen zien opduiken. En dat moment – nu er een Monero miner is ontdekt die dezelfde kwetsbaarheid gebruikt als Wannacry ransomware – kan wel eens dichterbij zijn dan we denken…
Eward Driehuis, chief research officer bij de SecureLink Group
