Der Vorfall
Ende 2024 entdeckten Sicherheitsforscher von Kaspersky eine ausgeklügelte Cryptomining-Kampagne, die sie „StaryDobry" tauften – nach einer russischen Zeichenkette im Schadcode, die „alter Freund" bedeutet. Die Kampagne lief bereits seit Monaten und hatte weltweit tausende Computer infiziert, mit Schwerpunkt in Deutschland, Russland, Brasilien, Belarus und Kasachstan.
Die Verbreitung erfolgte über gecrackte Versionen populärer Spiele, die auf Torrent-Plattformen hochgeladen wurden. BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox und Plutocracy – alles beliebte Titel, die Nutzer gerne kostenlos herunterladen. Die Installationsdateien sahen professionell aus und funktionierten tatsächlich – die Spiele ließen sich installieren und spielen. Was der Nutzer nicht sah: Im Hintergrund wurde gleichzeitig ein Cryptominer installiert.
Das Heimtückische an der Kampagne war ihre Geduld. Die manipulierten Torrents wurden bereits im September 2024 hochgeladen, der eigentliche Mining-Betrieb begann erst Wochen später. Die Angreifer warteten, bis genügend Rechner infiziert waren, bevor sie den Miner aktivierten.
Die Auswirkungen für betroffene Nutzer: langsame Computer, hohe Stromrechnungen, überhitzte Hardware und verkürzte Lebensdauer von Prozessor und Grafikkarte. Der Cryptominer schürfte rund um die Uhr Monero – eine auf Anonymität spezialisierte Kryptowährung, die sich nicht zurückverfolgen lässt.
Wie der Angriff funktionierte
StaryDobry war ein Musterbeispiel für einen mehrstufigen Angriff, bei dem jede Stufe die nächste vorbereitete.
Stufe 1 – Der trojanisierte Installer: Der Nutzer lud eine gecrackte Version eines Spiels von einer Torrent-Seite herunter. Der Installer war ein reguläres Installationsprogramm, das das Spiel tatsächlich installierte. Versteckt im Installer befand sich jedoch ein kleiner Dropper – eine ausführbare Datei, die während der Installation unbemerkt auf der Systempartition abgelegt wurde.
Stufe 2 – Umgebungsprüfung und Tarnmaßnahmen: Der Dropper führte zunächst umfangreiche Checks durch. Er prüfte, ob er in einer virtuellen Maschine oder Sandbox lief – typische Analyseumgebungen von Sicherheitsforschern. Er ermittelte die Hardware-Spezifikationen des Rechners, insbesondere die Anzahl der CPU-Kerne. Rechner mit weniger als acht Kernen wurden verschont – sie hätten beim Mining zu wenig Leistung gebracht und die Verlangsamung wäre zu offensichtlich gewesen.
Stufe 3 – Persistenz über den Task Scheduler: Der Dropper richtete eine geplante Aufgabe im Windows Task Scheduler ein. Diese Aufgabe sorgte dafür, dass der Miner bei jedem Systemstart automatisch geladen wurde. Der Task wurde unter einem unauffälligen Namen angelegt, der wie ein legitimer Windows-Dienst aussah. Zusätzlich wurden Dateien in Systemverzeichnissen abgelegt, die einem normalen Nutzer nicht auffallen würden.
Stufe 4 – Nachladen und Aktivierung des Miners: Über die geplante Aufgabe wurde eine modifizierte Version von XMRig nachgeladen – einem bekannten Open-Source-Monero-Miner. Die Modifikationen dienten der Tarnung: Der Prozessname wurde verschleiert, die CPU-Auslastung wurde intelligent gesteuert (weniger Mining bei aktiver Nutzung, volle Auslastung bei Inaktivität), und die Netzwerkverbindungen zum Mining-Pool wurden verschlüsselt.
Jede dieser Stufen hinterließ Spuren auf der Systempartition: den Dropper, die geplante Aufgabe, die Miner-Dateien, die Konfiguration. All das sind Daten, die Deep Freeze bei einem Neustart spurlos entfernt hätte.
Warum Virenscanner versagten
StaryDobry war monatelang aktiv, bevor Kaspersky die Kampagne öffentlich machte. In dieser Zeit hatte kein Virenscanner die Bedrohung zuverlässig erkannt.
Der Dropper war sorgfältig verschleiert. Er verwendete mehrere Schichten der Obfuskation und war gegen gängige Virenscanner getestet worden. Da er im Kontext eines Game-Installers lief, der tatsächlich ein Spiel installierte, war das Verhalten für heuristische Analysen schwer von einem legitimen Installationsprozess zu unterscheiden.
Die Umgebungsprüfungen (Stufe 2) dienten explizit dazu, Sicherheitsanalysen zu umgehen. In einer Sandbox oder virtuellen Maschine – den typischen Testumgebungen von Virenscanner-Herstellern – blieb der Dropper inaktiv. Erst auf echter Hardware mit ausreichender Leistung wurde er aktiv.
Der nachgeladene XMRig-Miner ist an sich legitime Open-Source-Software. Virenscanner tun sich grundsätzlich schwer mit der Unterscheidung zwischen einem Miner, den der Nutzer absichtlich installiert hat, und einem, der heimlich eingeschleust wurde.
Hinzu kommt: Nutzer, die gecrackte Software installieren, deaktivieren häufig den Virenscanner während der Installation. Crack-Anleitungen empfehlen das sogar explizit – angeblich wegen „Fehlalarmen". In Wahrheit räumt der Nutzer damit die letzte Verteidigungslinie aus dem Weg.
So hätte Deep Freeze geschützt
Deep Freeze ist gegen Cryptominer wie StaryDobry besonders effektiv, weil es exakt die Mechanismen eliminiert, auf die der Miner angewiesen ist.
Der Dropper überlebt den Neustart nicht. Das Spiel wird installiert, der Dropper landet auf der Systempartition. Beim nächsten Neustart setzt Deep Freeze alles zurück. Der Dropper ist verschwunden, das Spiel ebenfalls – die eingefrorene Systempartition kennt keine der Änderungen.
Die geplante Aufgabe wird gelöscht. Der Task Scheduler ist Teil des Betriebssystems, und die geplanten Aufgaben werden auf der Systempartition gespeichert. Deep Freeze setzt auch diese Dateien zurück. Keine geplante Aufgabe, kein automatischer Start des Miners.
XMRig kann nicht dauerhaft installiert werden. Der nachgeladene Miner braucht einen Platz auf der Systempartition und einen Autostart-Mechanismus. Beides wird bei jedem Neustart gelöscht. Selbst wenn der Miner während einer Sitzung aktiv ist, endet sein Betrieb spätestens beim nächsten Reboot.
Keine dauerhaften Stromkosten. Ein Cryptominer, der bei jedem Neustart verschwindet, kann keinen wirtschaftlichen Schaden anrichten. Die hohen Stromkosten und die Hardware-Abnutzung, die Langzeit-Mining verursacht, entfallen vollständig.
Für Rechner, an denen mehrere Nutzer arbeiten – etwa in Internetcafés, Schulungsräumen oder Gaming-Lounges – ist Deep Freeze damit der ideale Schutz. Egal was installiert wird: der nächste Neustart räumt auf.
Die Lehre
- Gecrackte Software ist ein trojanisches Pferd. Was kostenlos aussieht, bezahlst Du mit Deiner Hardware und Deinem Strom. Deep Freeze macht den Preis rückgängig – bei jedem Neustart.
- Cryptominer brauchen Persistenz. Mining lohnt sich nur, wenn der Miner dauerhaft läuft. Deep Freeze macht dauerhafte Installation unmöglich.
- Der Task Scheduler ist ein beliebtes Werkzeug für Malware. Geplante Aufgaben überleben Neustarts – aber nicht Deep Freeze. Die eingefrorene Systempartition setzt auch den Task Scheduler auf den Originalzustand zurück.
- Virenscanner erkennen Miner oft nicht. Die Grenze zwischen legitimem und bösartigem Mining ist für einen Scanner schwer zu ziehen. Deep Freeze fragt nicht – es setzt einfach zurück.
- Geduld der Angreifer wird belohnt – ohne Deep Freeze. StaryDobry wartete Wochen, bevor der Miner aktiviert wurde. Mit Deep Freeze hätte das Warten nichts genützt, denn jeder Neustart löschte die Vorbereitungen.