Cryptojacking

Cryptojacking is een vorm van cybercrime waarbij aanvallers ongeautoriseerd de rekenkracht van computers, servers of mobiele apparaten kapen om cryptocurrency te minen zonder toestemming van de eigenaar. Het slachtoffer merkt de aanval vaak pas op wanneer systemen trager worden, de elektriciteitsrekening onverklaarbaar stijgt of hardware vroegtijdig slijt door constante overbelasting. In tegenstelling tot ransomware, dat zich direct kenbaar maakt met een losgeldboodschap, is cryptojacking ontworpen om zo lang mogelijk onopgemerkt te blijven terwijl het continu inkomsten genereert voor de aanvaller op kosten van het slachtoffer.

De opkomst van cryptojacking is direct gekoppeld aan de stijgende waarde van cryptocurrency en de toenemende rekenkracht die nodig is voor het minen ervan. Door andermans systemen te gebruiken vermijden aanvallers de kosten van hardware en elektriciteit volledig, waardoor elke geminde munt pure winst is. Volgens cybersecurityrapporten stegen cryptojacking-incidenten in 2023 met 659% ten opzichte van het voorgaande jaar. Cloud-omgevingen en DevOps-infrastructuur zijn inmiddels een primair doelwit geworden, omdat ze grote hoeveelheden schaalbarre rekenkracht bieden die snel kan worden ingezet voor mining-operaties zonder fysieke toegang tot hardware.

Hoe werkt cryptojacking?

Cryptojacking-aanvallen maken gebruik van twee hoofdmethoden om rekenkracht te kapen. Bij de eerste methode installeert de aanvaller cryptomining-malware op het systeem van het slachtoffer. Dit gebeurt via phishing-e-mails met kwaadaardige bijlagen, gecompromitteerde software-downloads, het exploiteren van kwetsbaarheden in publiek bereikbare diensten, of via supply chain-aanvallen waarbij legitieme software wordt besmet met mining-code die ongemerkt wordt meegeleverd bij de installatie.

Eenmaal geinstalleerd draait de mining-software op de achtergrond en gebruikt de CPU en/of GPU van het systeem om cryptografische berekeningen uit te voeren die nodig zijn voor het valideren van blockchain-transacties. De miner is doorgaans geconfigureerd om niet meer dan 50-80% van de beschikbare rekenkracht te gebruiken, zodat het systeem bruikbaar blijft voor de reguliere gebruiker en de aanval minder snel wordt opgemerkt door beheerders. De geminde cryptocurrency wordt automatisch overgemaakt naar de wallet van de aanvaller via een mining pool.

De tweede methode is browser-based cryptojacking, waarbij kwaadaardige JavaScript-code wordt geplaatst op websites of geinjecteerd in advertenties via malvertising-netwerken. Wanneer een bezoeker de pagina laadt, begint de browser op de achtergrond cryptocurrency te minen zolang het tabblad geopend blijft. Deze methode vereist geen installatie van software op het apparaat en stopt zodra de browser wordt gesloten. Hoewel de opbrengst per sessie relatief laag is, levert het volume aan bezoekers op drukbezochte websites een constante stroom inkomsten op voor de aanvaller.

Recent onderzoek uit 2025 toont aan dat aanvallers steeds vaker DevOps-tools en cloud-infrastructuur targeten voor grootschalige cryptojacking. Er werden campagnes ontdekt die publiek bereikbare Docker-containers, Gitea-repositories en HashiCorp Consul-servers exploiteerden om cryptominers te deployen op schaal. De aanvallers gebruikten daarbij uitsluitend legitieme, open source tools van GitHub, een aanpak die bekendstaat als living-off-open-source en detectie bijzonder lastig maakt omdat er geen custom malware wordt ingezet die door signatures kan worden herkend.

Hoe herken je cryptojacking?

De belangrijkste indicator van cryptojacking is een onverklaarbare toename in CPU- of GPU-gebruik op systemen zonder corresponderende werkprocessen die dit verklaren. Wanneer servers of werkstations consistent hoge belasting tonen terwijl er geen zware applicaties draaien, kan er sprake zijn van cryptomining op de achtergrond. Monitor CPU-gebruik via je SIEM-platform en stel alerts in voor afwijkende patronen, zoals servers die buiten kantooruren op vol vermogen blijven draaien.

Andere indicatoren zijn: verhoogd energieverbruik dat niet verklaard wordt door veranderingen in het IT-landschap of seizoenseffecten, systemen die trager reageren of vaker crashen door overbelasting, onverklaarbare toename in koelventilatoractiviteit bij fysieke systemen, onbekende processen in taakbeheer die veel CPU-resources claimen, en onverwacht hoge cloudrekeningen bij IaaS-providers. In cloudomgevingen is een plotselinge stijging in compute-kosten vaak het eerste en meest zichtbare signaal van actieve cryptojacking.

Netwerkmonitoring kan ook helpen bij detectie van cryptojacking-activiteit op je netwerk. Cryptominers communiceren met mining pools via specifieke protocollen, vaak het Stratum-protocol, op herkenbare poorten. Een IDS kan regels bevatten die verkeer naar bekende mining pools detecteren en flaggen voor onderzoek. DNS-monitoring kan verbindingen naar mining pool-domeinen signaleren, zelfs als de miner versleuteld verkeer gebruikt om de communicatie te verbergen voor standaard inspectie.

Hoe bescherm je je tegen cryptojacking?

Bescherming tegen cryptojacking vereist een combinatie van preventieve en detectieve maatregelen op meerdere lagen van je infrastructuur. Installeer en onderhoud endpoint detection and response oplossingen die cryptomining-software herkennen en blokkeren. Moderne EDR-tools detecteren mining-gedrag op basis van gedragsanalyse, ook wanneer de specifieke miner niet in de signature database voorkomt, door het herkennen van patronen in CPU-gebruik en netwerkverkeer die kenmerkend zijn voor mining-activiteit.

Implementeer browser-extensies of webfiltering die bekende cryptomining-scripts blokkeren op netwerkniveau. Op netwerkniveau kun je verkeer naar bekende mining pools blokkeren via je firewall of DNS-filter. Houd een actuele lijst bij van mining pool-domeinen en IP-adressen en blokkeer deze proactief. Content Security Policy headers op je eigen websites voorkomen dat geinjecteerde scripts mining-code laden vanuit externe bronnen die niet zijn goedgekeurd.

In cloudomgevingen is het essentieel om toegangscontroles strak in te richten om misbruik van resources te voorkomen. Beperk wie containers kan deployen en welke container images mogen worden gebruikt in productie. Gebruik container image scanning om mining-software in images te detecteren voordat ze worden gedeployed naar productie-omgevingen. Implementeer resource limits op container-niveau zodat een enkele container niet alle beschikbare rekenkracht kan claimen. Monitor cloudkosten met budgetalerts die direct waarschuwen bij onverwachte stijgingen.

Patch management is cruciaal omdat veel cryptojacking-aanvallen beginnen met het exploiteren van bekende kwetsbaarheden in publiek bereikbare diensten en webapplicaties. Houd alle software actueel met de laatste patches, vooral webservers, CMS-systemen en DevOps-tools die direct vanuit het internet bereikbaar zijn. Minimaliseer het aantal publiek bereikbare diensten en gebruik multi-factor authenticatie op alle beheertoegang tot servers en cloudomgevingen om ongeautoriseerde toegang te voorkomen.

Veelgestelde vragen over cryptojacking

Is cryptojacking schadelijk voor hardware?

Ja, langdurige cryptomining veroorzaakt verhoogde slijtage aan CPU, GPU en koelsystemen van het getroffen apparaat. Continu draaien op hoge belasting verkort de levensduur van hardware aanzienlijk en kan leiden tot oververhitting, instabiliteit en in extreme gevallen permanent hardwarefalen dat vervanging noodzakelijk maakt.

Welke cryptocurrency wordt het meest gemined bij cryptojacking?

Monero is veruit de populairste cryptocurrency bij cryptojacking vanwege het RandomX-algoritme dat geoptimaliseerd is voor CPU-mining en geen gespecialiseerde hardware vereist. Monero biedt bovendien sterke privacy-features waardoor transacties moeilijk te traceren zijn door opsporingsdiensten.

Hoe verschilt cryptojacking van ransomware?

Ransomware versleutelt bestanden en eist losgeld, waardoor het zich direct kenbaar maakt aan het slachtoffer. Cryptojacking probeert juist onopgemerkt te blijven en genereert continu inkomsten door rekenkracht te stelen. De directe financiele schade per incident is lager maar de aanval duurt doorgaans veel langer voordat deze wordt ontdekt.

Kan cryptojacking mobiele apparaten treffen?

Ja, cryptojacking treft ook smartphones en tablets via kwaadaardige apps of browser-based mining scripts. Op mobiele apparaten is de impact extra merkbaar door snelle batterijdrain, oververhitting en vertraagde prestaties. Installeer apps alleen uit officiele appstores en gebruik een mobiele beveiligingsoplossing.

Hoe detecteer je cryptojacking in de cloud?

Monitor cloudkosten en compute-gebruik op onverklaarbare afwijkingen van het normale gebruikspatroon. Stel budgetalerts in bij je cloudprovider die direct melden wanneer kosten een vooraf bepaalde drempel overschrijden. Gebruik container security scanning en beperk wie resources kan aanmaken. Implementeer runtime monitoring die ongeautoriseerde processen detecteert.

Bescherm je systemen tegen cryptojacking. Vergelijk Endpoint Detection & Response (EDR) aanbieders op IBgidsNL.