'Coinhive al jaar lang malware met grootste impact voor bedrijven'

In de voorbije twaalf maanden had 38 procent van de bedrijven wereldwijd op een of andere manier te maken met cryptominingmalware. Grootste boosdoener was de Coinhive cryptominer met een aandeel van 24 procentpunt. Dit blijkt uit de Global Threat Index van Check Point.

De Coinhive cryptominer prijkt sinds 2017 bovenaan de lijst met ‘populairste’ bedreigingen en kan zich nu precies een jaar de nummer één noemen. De posities twee en drie worden momenteel bekleed door Cryptoloot en Andromeda. In de novembereditie van de Global Threat Index, samengesteld door beveiligingsspecialist Check Point, valt echter vooral de opkomst van het Emotet-botnet op. Dat botnet groeide sterk na verschillende nieuwe aanvalsgolven, waaronder een succesvolle campagne in Thanksgiving-thema. Mede daardoor wist Emotet zich in korte tijd een plek te verwerven in de top tien van populairste malware.

De Thanksgiving-campagne was opgebouwd rond zogeheten malspam-e-mails, vermomd als Thanksgiving-kaartjes met onderwerpen als ‘Thanksgiving day wishes’ en ‘Thanksgiving day congratulation’. De mails bevatten kwaadaardige bijlagen, opnieuw voorzien van bestandsnamen in Thanksgiving-thema. Zo kon het botnet zich verder verspreiden en raakten computers ook geïnfecteerd met andere malware. Deze strategie deed de wereldwijde impact van het Emotet-botnet volgens Check Point met 25 procent stijgen.

Ook it-beveiliger ESET stelt in zijn nieuwste trendrapport vast dat gevallen van cryptocurrencymining en cryptojacking in 2019 zullen blijven toenemen. Het bedrijf voorspelt dat aanvallers zich steeds meer gaan toespitsen op slimme toestellen en thuisassistenten om zo cryptominingfarms uit te bouwen.

Update, 11.55: De titel van het artikel is aangepast. Daar stond aanvankelijk dat een op de drie bedrijven in 2018 geïnfecteerd raakte, gebaseerd op het Nederlandstalige persbericht, maar waarschijnlijk betrof het een vertaalfout in het persbericht want zo staat het niet in het Engelstalige bronartikel.

IT-banen

Reacties (51)

Ynst2003 18 december 2018 12:03

Mwah. Geinfecteerd? Vind ik een groot woord.

Waar het hier om gaat is het bezoeken van een website met een .js code ingebouwd van Coinhive. Dit stukje code laat de CPU de cryptomunt monero minen. Niet netjes, zeker niet inderdaad.

Maar geinfecteerd vind ik een te groot woord, want er wordt niks geinstallleerd of uitgevoerd vanaf de pc. Alles gebeurt letterlijk vanuit dat javascriptje die draait op die website.

disclaimer: ik ben ook tegen cryptominers

anargeek @Ynst2003 • 18 december 2018 13:42

Niet per se, Coinhive kan ook werken met NodeJS waardoor het op servers kan draaien (ik ben op die manier al eens een geinfecteerde server tegengekomen) en komt ook voor in geinfecteerde MS Office bestanden die JS uitvoeren. Het is dus lang niet alleen een script op een website die je bezoekt, en je kan wel degelijk spreken over infecties.

Daarbij is een website die onwetend Coinhive heeft draaien ook een geinfecteerde webserver.

edit: links toegevoegd

[Reactie gewijzigd door anargeek op 24 juli 2024 10:58]

Ynst2003 @anargeek • 18 december 2018 15:37

interessant. Wist ik niet, bedankt voor je toevoeging.

Verwijderd @anargeek • 19 december 2018 11:38

Je moet dan wel een popupje toestemming geven om te connecten met coinhive

fluffy1 @Ynst2003 • 18 december 2018 12:13

Mee eens. Men is hier gewoon angst aan het zaaien om de verkoop van hun producten te boosten.

Ik wil wel eens weten wat er nog van dit getal over schiet als je alleen software telt die zonder gebruikersinteractie met de PC opstart. Maw. zonder dat je aan het browsen bent op een onvriendelijke website.

batjes @Ynst2003 • 18 december 2018 12:55

Nu wordt javascript code wel lokaal uitgevoerd en niet op de website, dus op de PC zelf

FreshMaker

Internet

@Ynst2003 • 18 december 2018 12:13

Hier draaien we een dns-blocker, waar dit soort grappen in geblokkeerd wordt
( zoveel mogelijk iig, je kan niet overal direct bij zijn )

Thuis worden ze wel geblocked door uBlock, sites zelf blijven wel beschikbaar, alleen de zooi probeer ik tegen te houden.

FlyingDutchMen @Ynst2003 • 19 december 2018 08:25

Wat men natuurlijk ook nog even vergeet is dat er ook website zijn die het op de nette manier gebruiken.

Er zijn natuurlijk ook websites die aangeven dat ze gebruik maken van deze miner en waaarbij je zelfs in kan stellen hoeveel cpu-load hij mag gebruiken. Ook heb je nog de iets minder mooiere die het aangeven maar direct ook verplichten, als je dit niet accepteert of block kom je niet op de website. Dit rekenen ze ongetwijfeld ook mee met deze cijfers.

verytallman 18 december 2018 12:08

Een crypto miner als coinhive vind ik geen malware: een website eigenaar zet zelf de miner op zijn website en werkt alleen zolang de gebruiker op de website is. De eigenaar van de website kan instellen hoe hard de miner aan het werk is.
Slecht gemaakte websites met veel onnodige Javascript code, of zelfs YouTube, kunnen net zoveel resources verbruiken.

Tenzij dit artikel een ander, illegaal, soort gebruik van coinhive bedoeld. Maar dat staat niet in het artikel.

w0nnapl4y @verytallman • 18 december 2018 13:05

Er zijn van Coinhive 2 versies. De ene is opt-in, de ander is zonder opt-in.

Hiermee is ook meteen het verschil of dit als malware aangestippeld kan worden, ook al vind ik de term malware inderdaad ook niet heel accuraat.

2 situaties, totaal verschillende uitkomst :
In het geval van een website eigenaar die ervoor kiest om een van de 2 versies (opt-in of non opt-in) te gebruiken, is dit niet een vorm van malware. Voor de gebruiker voelt het gebruik van de non-opt-in versie wellicht alsnog malafide.

In het geval dat een hacker de coinhive non-opt-in versie installeert en gebruikt voor eigen gewin, kan je dit wel bestempelen als malafide en daardoor ook als malware.

De non-opt-in versie wordt veruit het meeste gebruikt, waarvan in het leeuwendeel door hackers die onveilige websites aanvallen (of zelfs sites zoals die van Showtime ; https://www.bleepingcompu...if-hack-or-an-experiment/). Ook het misbruik van complete server(parken) wordt steeds populairder. 20% van de CPU/GPU capaciteit van een bedrijf gebruiken, dat het toch niet gebruikt, kan daardoor langer ongezien blijven, bij een slecht beveiligingsklimaat.

Malwarebytes heeft eerder dit jaar al een analyse gepubliceerd over het gebruik van de verschillende versies van Coinhive; zie hier : https://blog.malwarebytes...e-malicious-cryptomining/

Oftewel; Het is compleet afhankelijk van de situatie of Coinhive in een specifiek geval als malware of malafide bestempeld kan worden. Helaas is het meeste gebruik tot nu toe malafide, echter heeft Coinhive dus wel degelijk de potentie om als een goed alternatief voor reclame te dienen.

edit; typo's en extra info

[Reactie gewijzigd door w0nnapl4y op 24 juli 2024 10:58]

Batiatus 18 december 2018 12:08

Cryptominers zoals CoinHive draaien toch op bijvoorbeeld webservers? Dus als iemand een bepaalde website bezoekt en daarmee via de browser gaat minen, wordt deze persoon (en dan ook het bedrijf) aangemerkt als geïnfecteerd? Of is dat enkel bij bedrijven waar een coinminer op een bepaald systeem is geïnstalleerd?
Kan me herinneren dat een van die pirateproxies daarmee geïnfecteerd was, fan knalde meteen vol aan op mijn laptop.

t link @Batiatus • 18 december 2018 14:15

the piratebay gebruikt(e?) coinhive, dat is niet iets van de proxy zelf.

lepel @Batiatus • 18 december 2018 14:53

CoinHive draait niet op de webserver, maar in de browser van de bezoeker. Er wordt javascript aangeroepen die (meestal) vanaf de servers van CoinHive wordt geserveerd. Deze wordt dan uitgevoerd in de browser van de bezoeker en mined zo Monero.

Geïnfecteerd was hier dus ook het verkeerde begrip. Dat het impact heeft op een bedrijf kan ik mij wel voorstellen. Stel dat een werknemer in een apart tabblad even bijv. TPB open heeft staan of een andere website met een miner, en dan lijkt de browser opeens traag. ICT wordt erbij gehaald, die weten misschien niet eens dat browser miners bestaan of de werknemer heeft dat tabblad even snel gesloten voor ICT kwam (want persoonlijke/niet toegestane zaken) en zo gaan er wel een paar uurtjes productiviteit verloren.

[Reactie gewijzigd door lepel op 24 juli 2024 10:58]

Batiatus @lepel • 18 december 2018 15:59

Ja, je hebt gelijk. Het is inderdaad javascript die aangeroepen wordt, maar die code moet daarvoor wel op de webserver belanden, anders roept die niets aan in de browser om de client te laten werken voor zijn geld

En inderdaad, de gemiddelde beheerder heeft waarschijnlijk geen idee van de bedreigingen zoals miners.. zal ook niet als een groot risico gezien worden aangezien het op individuele laptops/desktops draait.

lepel @Batiatus • 18 december 2018 16:14

Nou jij zei "Cryptominers zoals CoinHive draaien toch op bijvoorbeeld webservers?", daardoor leek het alsof je bedoelde dat de coins op de webserver gemined worden. Javascript als plaintext naar een browser sturen zou ik niet "draaien" noemen

Chuk 18 december 2018 11:25

38 procent van de bedrijven wereldwijd

Beangstigend groot getal dit...

sprankel @Chuk • 18 december 2018 11:41

Het bron artikel, wat in feite een reclameartikel van Checkpoint is, spreekt over "impacted", Tweakers heeft dit vertaald naar geïnfecteerd maar of deze vertaling correct is betwijfel ik.

Uit de bron:
"CVE-2017-7269 remains in first place of the top exploited vulnerabilities list, with a global impact of 48% of organizations"

Uit deze zin is "global impact" te interpreteren als "geïmpacteerd" waarmee, gezien het hoge cijfer, ze bedoelen dat 48% vatbaar was, wat weer niet automatisch wil zeggen dat bij 48% het lek effectief gebruikt is geweest.

Uit de bron;
"During the past 12 months, Coinhive alone impacted 24% of organizations worldwide, while cryptomining malware had an overall global impact of 38%."

38% global impact, wat het juist wil zeggen is niet geheel duidelijk. Ik hou het op slimme marketingjongens van checkpoint die met hoge cijfers een schrikeffect willen opwekken.

lepel @sprankel • 18 december 2018 12:33

Coinhive is dan ook een webbased miner, die via Javascript Monero doet minen wanneer je een website bezoekt die hun software gebruikt. Impacted betekent dan dus ook letterlijk dat het een impact heeft gehad op hun hardware/netwerk, of het functioneren van een medewerker.

Ik kan me voorstellen dat een medewerker in een tabblad wat persoonlijke zaken heeft open staan en daarmee misschien een website die de Coinhive miner bevat, dan wordt je hele browser opeens een stuk trager natuurlijk (afhankelijk van hoe die website Coinhive gebruikt). Voor een leek lijkt dan opeens de browser langzaam, zonder dat ze beseffen dat ze zelf een website hebben bezocht die de miner bevat.

Daarom ook erg schadelijk dat Coinhive het toe stond dat websites hun scripts gebruiken zonder dit te communiceren naar de bezoeker. Maar ik kan mezelf dan ook weer voorstellen dat wanneer websites wel een melding geven deze zelfde personen gewoon blind op "Okay" klikken alsof het een cookiemelding is.

En dan:

1. Lijkt de PC traag
2. Medewerker gaat klagen bij ICT
3. ICT gaat onderzoeken wat er aan de hand is, is wellicht niet bekend met webbased miners
4. Daar gaan weer een paar uurtjes productiviteit de put in

[Reactie gewijzigd door lepel op 24 juli 2024 10:58]

daredevil__2000 @sprankel • 18 december 2018 13:32

Het is maar net wat je onder "impacted" verstaat natuurlijk. Is dat bijvoorbeeld al wanneer je naar een website gaat waar de coinhiver op aangeboden wordt of is dat pas wanneer hij ook daadwerkelijk iets heeft kunnen doen op de client.

In onze next gen firewalls zie ik coinhiver vaak genoeg voorbij komen maar deze worden gewoon netjes geblokkeerd voordat ze bij de eindgebruiker aangeboden kunnen worden. Wordt het bijvoorbeeld dan al gezien als impacted.

Het artikel is er inderdaad erg vaag over op basis van wat deze getallen tot stand zijn gekomen.

DeathMaster @Chuk • 18 december 2018 11:36

Het is niet zo vreemd gezien de digitalisering. Iedereen zit achter een computer, ook de mensen die er de ballen verstand van hebben. Die dus iedere link klikt, iedere bijlage blind downloadt, want hey, het is toch maar de computer van de zaak. Wat kan er immers fout gaan?

Hoe slim je organisatie ook is, de zwakste schakel zal de ketting doen breken.

Roelof @DeathMaster • 18 december 2018 13:55

Hoe slim je organisatie ook is, de zwakste schakel zal de ketting doen breken.

Bij ons is dat dan onze IT afdeling.

Wij hadden ook een cryptominer op de pc staan. Toen ik aan de bel trok dat er veel pc's een load hadden van 50% en dat IT dat toen ging uitzoeken, bleek dat er op de updateserver een cryptominer stond...

JayOne @DeathMaster • 18 december 2018 11:39

Slimme bedrijven investeren dan ook kapitalen in de smart blockchain.

BlackBeltBob @JayOne • 18 december 2018 11:56

Hey, daar hebben we Rian van Rijbroek!

MrMonkE @Chuk • 18 december 2018 11:31

Ja.. letterlijk ongelooflijk.

edit: Told you so

[Reactie gewijzigd door MrMonkE op 24 juli 2024 10:58]

lakemens @MrMonkE • 18 december 2018 11:38

Nu ben ik echt geen expert op dit gebied, maar klopt dit wel? Dat zou betekenen dat daadwerkelijk 1 op 3 geïnfecteerd is geraakt, dat kan ik me toch bijna niet voorstellen. Het bijbehorende persbericht is wel heel smeuiig geschreven, maar zo veel doen we wereldwijd toch niet met Thanksgiving?

slaapkopje @lakemens • 18 december 2018 11:49

statistieken klinken erg spannend, maar goed ik werk voor een groot bedrijf met miljoenen virtual servers en er was een testserver waar een javascript injection vulnerability in zat en die was wel online gezet en die zat een paar uur te minen tot het ontdekt was. We tellen nu duswel mee als 1 op de 3.

sumac @Chuk • 18 december 2018 11:44

Denk ook aan de winst die ze maken, en wat ze met dat geld doen...

EDIT: Ik besef net dat ik aan ransomware dacht, kon het me ook niet voorstellen dat het zo vaak voorkwam.

[Reactie gewijzigd door sumac op 24 juli 2024 10:58]

Verwijderd 18 december 2018 13:13

Is dit voor of na de aanpassing van coinhive script eerder dit jaar?
Er is geen een werkend script meer dat automatisch zonder consent die dingen start.
Wat mij zorgen baart is de andere webmining sites die niet getriggerd worden, kan zo 3-4 concurrenten van coinhive opnoemen, waar niemand iets van hoort en waarschijnlijk pak meer geld verdienen.
Of de nodige games die hiermee zijn uitgerust. 30% van alle games op steam is puur HTML en daar javascript code op de achtergrond zou niet de eerste keer zijn.

anargeek @Verwijderd • 18 december 2018 14:35

Is dit voor of na de aanpassing van coinhive script eerder dit jaar?
Er is geen een werkend script meer dat automatisch zonder consent die dingen start.

Ik citeer van coinhive.com:

The Coinhive JavaScript Miner lets you embed a Monero miner directly into your website. The miner itself does not come with a User Interface – it's your responsibility to tell your users what's going on and to provide stats on mined hashes.

[...]

While it's possible to run the miner without informing your users, we strongly advise against it. You know this. Long term goodwill of your users is much more important than any short term profits.

en:

You may load the miner from https://coinhive.com/lib/coinhive.min.js instead if you don't want to show the opt-in screen.

In de configuratie van het Coinhive script is het een simpele true/false of je gebruikers toestemming wilt laten geven. En dat is alleen het officiele script van Coinhive. Er zijn zat andere varianten of oudere versies te gebruiken

[Reactie gewijzigd door anargeek op 24 juli 2024 10:58]

bArAbAtsbB 18 december 2018 11:25

1 op de 3 is wel heel veel, is er ook bekend wat onze nationale cijfers hierover zijn?

Saven @bArAbAtsbB • 18 december 2018 11:33

Inderdaad, lijkt me vrijwel onmogelijk. Ik werk dagelijks met een hele hoop bedrijven maar ben dit nog nooit tegengekomen.

Waarschijnlijk gaat het om bedrijven in een bepaald gebied, branche, of met een bepaalde omzet/omvang.

[Reactie gewijzigd door Saven op 24 juli 2024 10:58]

Qlusivenl

@Saven • 18 december 2018 11:42

Ik bne het wel eens tegengekomen bij klanten, echter is dat bij lange na geen 1/3e. Niet eens 1/10e. Dus ik vind deze cijfers een beetje bangmakerij. Volgens mij klopt het niet. Wellicht hebben wij gewoon geluk met onze klanten en bedrijven waar wel mensen werken die niet zomaar alles aanklikken...

quintenV @Qlusivenl • 18 december 2018 11:57

Als je 3 bedrijven hebt met elk 2000 werknemers. Dat geeft dus 6000 totaal 1 daarvan is 'besmet' die werkt bij bedrijf A, zo kan je stellen dat bedrijf A besmet is en dus 1/3 bedrijven besmet.

Verwijderd @Saven • 18 december 2018 12:02

Het ligt ook geheel aan het formaat bedrijf. De enterprise markt waar ik in werk kom ik het ongeveer zonder uitzondering bij elk bedrijf wel een keertje tegen. Als we dan ook nog de browserbased cryptominers meerekenen durf ik wel te stellen dat 100% van de bedrijven geraakt wordt door een form van ongewenste cryptomining op hun apparatuur.

Iblies @bArAbAtsbB • 18 december 2018 11:36

Als je het beetje slim aanpakt dan merkt niemand het.

Als je de miner zo instelt dat die niet de hoogste prioriteit heeft en de cpu-load maximaal 30~40%, dan merk je het niet. Op een gemiddelde laptop zal de fan ook niet aanslaan.

Wim-Bart @bArAbAtsbB • 18 december 2018 11:48

Deze cijfers kloppen ook niet. Ik kan me niet voorstellen dat het zo hoog ligt. Afgelopen jaar geen enkele van de klanten of klant-klanten die er mee in aanraking is geweest. En dan spreken we over meer dan 600 Nederlandse bedrijven.

Wanneer de aantallen voor Nederland zouden gelden dan zou het statischisch onmogelijk zijn dat 1 van die 600+ bedrijven niet geinfecteerd zou zijn. Echter is het wel zo, dus kan je vraagtekens zetten bij dit onderzoek.

bArAbAtsbB @Wim-Bart • 18 december 2018 12:00

of er zijn dus landen met 80 a 90 % besmetting?

Verwijderd 18 december 2018 11:40

Qua infecties is een cryptominer de minst ergste imho

Maar 1 op de 3? Dat klinkt wel als heel veel. Of telt de persoonlijke laptop van een medewerker die hij wel eens meeneemt naar het werk er ook onder?

ddt15 18 december 2018 13:06

Is dit eigenlijk wel winstgevend voor die criminelen? Je moet toch al gauw miljoenen PC's bereiken voordat je er wat mee verdient? Ransomware lijkt me effectiever dan.

[Reactie gewijzigd door ddt15 op 24 juli 2024 10:58]

ASS-Ware 18 december 2018 11:36

[Edit]
Mijn reactie sloeg nergens op, artikel verkeerd gelezen.
Sorry.

[Reactie gewijzigd door ASS-Ware op 24 juli 2024 10:58]

irundaia @ASS-Ware • 18 december 2018 11:39

Volgens mij denk je aan ransomware, welke typisch met een cryptovaluta betaald dient te worden. In dit geval gaat het over het minen van die cryptovaluta, waarvoor je geen gegeven hoeft te versleutelen.

ASS-Ware @irundaia • 18 december 2018 11:42

Yup, post al aangepast, ik las verkeerd.

Verwijderd @ASS-Ware • 18 december 2018 11:39

Het doel van cryptominers is niet om de zaak plat te gooien, maar juist om deze te laten draaien.
De malware maakt niets stuk, maar gebruikt processing-capaciteit om op die manieer crypto-currencies te minen.
Jouw opticien had waarschijnlijk last van software die de zaak versleutelde en vervolgens blokkeerde.

crasyboy42 18 december 2018 12:18

Waarom is coinhive malware als de persoon zelf toestemming moet geven?
Kan iemand mij dit uitleggen?

Matthijz98 @crasyboy42 • 18 december 2018 12:57

Je kan coinhive ook laten draaien zonder toestemming van de gebruiker.

w0nnapl4y @crasyboy42 • 18 december 2018 13:11

Er zijn dus zowel een opt-in versie, als een niet opt-in versie van Coinhive.

De opt-in versie is inderdaad op bijna geen enkele manier malware te noemen, dus in deze context gaat het voornamelijk om de non-opt-in versie.

Zie mijn (nieuwe) comment voor meer info ; w0nnapl4y in 'nieuws: 'Coinhive al jaar lang malware met grootste impact voor...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: