Cryptojacking w firmie – jak hakerzy kradną moc komputerów

Czym jest cryptojacking i dlaczego jest tak groźny?

Cryptojacking (z ang. cryptocurrency + hijacking) to rodzaj cyberataku polegający na potajemnym wykorzystaniu mocy obliczeniowej cudzych urządzeń do wydobywania kryptowalut. Atakujący instaluje złośliwy kod na komputerach, serwerach lub urządzeniach sieciowych ofiary i czerpie zyski finansowe – a firma ponosi wszystkie koszty: energii, zużycia sprzętu i spadku wydajności pracowników.

W odróżnieniu od ransomware czy phishingu, cryptojacking jest celowo niewidoczny. Hakerzy nie chcą, żebyś wiedział o ich obecności – im dłużej pozostaną niezauważeni, tym więcej zarobią. Złośliwy kod działa więc w tle, unikając objawów, które natychmiast wzbudziłyby alarm.

Skala problemu jest globalna. Według raportów firm zajmujących się bezpieczeństwem, w 2025 roku cryptojacking odpowiadał za kilkanaście procent wszystkich wykrytych infekcji złośliwym oprogramowaniem w firmach. Szczególnie narażone są organizacje dysponujące dużą mocą obliczeniową: firmy z serwerowniami, infrastrukturą chmurową lub wieloma stacjami roboczymi – a więc właśnie segment MŚP.

Jak dochodzi do infekcji? Trzy główne wektory ataku

Cryptojacking może trafić do firmowej sieci na wiele sposobów. Znajomość tych ścieżek to pierwszy krok do skutecznej obrony.

• Złośliwe oprogramowanie: Pracownik pobiera zainfekowany plik, otwiera złośliwy załącznik e-mail lub klika w podejrzany link. Na urządzeniu instaluje się tzw. cryptominer, który działa w tle jako ukryty proces systemowy, często podszywając się pod legalne komponenty systemu operacyjnego.
• Browser-based cryptomining: Skrypt JavaScript umieszczony na zainfekowanej lub złośliwej stronie internetowej uruchamia koparkę kryptowalut bezpośrednio w przeglądarce. Wystarczy, że pracownik odwiedzi taką stronę – żadna instalacja nie jest potrzebna. Przeglądarka może zużywać 80–100% mocy procesora przez cały czas wizyty.
• Ataki na infrastrukturę chmurową: Hakerzy coraz częściej celują w źle skonfigurowane środowiska Azure, AWS czy GCP. Przejęcie konta z odpowiednimi uprawnieniami pozwala im uruchomić dziesiątki wirtualnych maszyn na koszt firmy. To wariant szczególnie dotkliwy finansowo – rachunek za chmurę może wzrosnąć o tysiące złotych w ciągu jednego weekendu.
• Niezałatane podatności: Luki w serwerach, aplikacjach webowych lub urządzeniach sieciowych mogą posłużyć jako punkt wejścia. Kryptowaluty takie jak Monero są szczególnie atrakcyjne dla cryptominerów, bo ich algorytmy haszowania dobrze działają na standardowych procesorach CPU.

Jak rozpoznać cryptojacking? Sygnały ostrzegawcze

Brak widocznych objawów to znak rozpoznawczy cryptojackingu – ale nie oznacza, że ataku nie można wykryć. Warto zwracać uwagę na następujące sygnały alarmowe:

• Niewyjaśnione spowolnienie komputerów: Jeśli wiele urządzeń nagle stało się wolniejszych bez wyraźnej przyczyny, może to wskazywać na nadmierne obciążenie procesora. W menedżerze zadań widać procesy zużywające 80–100% CPU bez aktywności użytkownika.
• Przegrzewanie się sprzętu: Intensywne kopanie kryptowalut generuje duże obciążenie termiczne. Głośniejsze wentylatory, gorące obudowy i częstsze wyłączenia sprzętu z powodu przegrzania to sygnały wymagające natychmiastowej diagnozy.
• Wzrost zużycia energii elektrycznej: Pełne obciążenie procesora przekłada się na wyższe rachunki za prąd. Przy kilkudziesięciu zainfekowanych urządzeniach różnica może być wyraźnie zauważalna w comiesięcznym zestawieniu.
• Niespodziewany wzrost kosztów chmury: Nagły skok wydatków na platformach chmurowych bez uzasadnienia w zwiększonym ruchu lub nowych projektach powinien natychmiast wzbudzić czujność administratorów IT.
• Alerty systemu bezpieczeństwa: Dobry EDR lub SIEM powinien wykryć podejrzane procesy sieciowe – cryptominery regularnie łączą się z zewnętrznymi pulami kopania (mining pools), co generuje charakterystyczny wzorzec ruchu sieciowego.

Skutki dla MŚP – nie tylko wyższy rachunek za prąd

Firmy często bagatelizują cryptojacking, traktując go jako mniej groźny od ransomware. To poważny błąd. Konsekwencje mogą być wielowymiarowe i narastać przez długi czas niezauważone:

• Degradacja wydajności pracy: Pracownicy korzystający ze spowolnionych komputerów tracą produktywność. W firmie zatrudniającej 20 osób nawet 20-procentowy spadek efektywności przekłada się na realne straty finansowe liczone w dziesiątkach godzin miesięcznie.
• Skrócenie żywotności sprzętu: Ciągłe maksymalne obciążenie procesora i ewentualnie karty graficznej przyspiesza zużycie podzespołów. Szacuje się, że intensywne kopanie może skrócić żywotność sprzętu o 30–50%, generując przedwczesne koszty wymiany.
• Ryzyko eskalacji ataku: Jeśli haker ma dostęp do infrastruktury firmy, cryptomining może być dopiero pierwszym krokiem. Ten sam kanał dostępu może zostać użyty do kradzieży danych, instalacji ransomware lub odsprzedaży dostępu innym cyberprzestępcom.
• Konsekwencje RODO: Jeśli atakujący uzyskał dostęp do środowiska przetwarzającego dane osobowe, firma może być zobowiązana do zgłoszenia incydentu do UODO – nawet jeśli cryptominer nie wyeksfiltrował żadnych danych. Samo naruszenie poufności infrastruktury może wystarczyć do uruchomienia procedury.

Jak chronić firmę przed cryptojackingiem?

Ochrona przed cryptojackingiem opiera się na tych samych fundamentach co ogólne bezpieczeństwo IT, ale kilka elementów jest szczególnie istotnych w kontekście tego zagrożenia:

1. Wdrożenie EDR zamiast klasycznego antywirusa: Nowoczesne rozwiązania klasy EDR, takie jak Microsoft Defender for Business, potrafią wykryć anomalne zachowanie procesów – w tym ukryte cryptominery. Klasyczny antywirus bazujący na sygnaturach wirusów często zawodzi wobec nowych wariantów złośliwego kodu.
2. Monitorowanie zużycia zasobów: Regularny monitoring CPU, pamięci RAM i aktywności sieciowej na wszystkich urządzeniach pozwala wychwycić nieprawidłowości. Narzędzia takie jak Zabbix, PRTG czy Microsoft Sentinel umożliwiają tworzenie alertów przy przekroczeniu zdefiniowanych progów.
3. Filtrowanie DNS: Blokowanie połączeń z domenami mining pools na poziomie DNS to skuteczna i tania metoda ograniczenia możliwości działania cryptominerów – nawet jeśli złośliwy kod już trafił na urządzenie.
4. Alerty budżetowe w chmurze: Aktywuj powiadomienia o kosztach we wszystkich używanych platformach chmurowych. Ustaw limity wydatków i skonfiguruj powiadomienia przy ich przekroczeniu – to pierwsza linia obrony przed kosztowną odmianą cloudowego cryptojackingu.
5. Regularne aktualizacje oprogramowania: Łatanie podatności w systemach, aplikacjach i urządzeniach sieciowych zamyka luki, przez które cryptominery mogą dostać się do infrastruktury. Zarządzanie aktualizacjami powinno być procesem ciągłym, nie okazjonalnym.
6. Szkolenia pracowników: Uświadomienie zespołu o ryzyku związanym z odwiedzaniem nieznanych stron i pobieraniem plików z niezaufanych źródeł zmniejsza ryzyko infekcji przez browser-based cryptomining, który nie wymaga żadnej instalacji po stronie użytkownika.

Co zrobić, gdy podejrzewasz atak?

Jeśli zaobserwujesz sygnały wskazujące na cryptojacking w Twojej firmie, działaj szybko i metodycznie:

1. Nie wyłączaj natychmiast urządzenia – zanim to zrobisz, wykonaj zrzut ekranu z menedżera zadań, by zachować dowody aktywności podejrzanych procesów. To ważne zarówno dla analizy technicznej, jak i ewentualnego postępowania wyjaśniającego.
2. Odizoluj podejrzane urządzenia od sieci firmowej, by zapobiec dalszemu rozprzestrzenianiu się infekcji na inne komputery i serwery.
3. Uruchom skanowanie EDR lub antywirusem na zainfekowanym urządzeniu. Zidentyfikuj podejrzane procesy i pliki – w raportach zwróć uwagę na procesy nawiązujące połączenia sieciowe do nieznanych adresów IP.
4. Sprawdź konsolę zarządzania chmurą – poszukaj nieautoryzowanych zasobów wirtualnych, niestandardowych reguł zapory ogniowej lub podejrzanych kont użytkowników z uprawnieniami do tworzenia maszyn wirtualnych.
5. Przeanalizuj logi sieciowe pod kątem połączeń z zewnętrznymi adresami IP, szczególnie z domenami typowych mining pools.
6. Skontaktuj się z dostawcą IT lub firmą zajmującą się bezpieczeństwem, jeśli nie masz odpowiednich zasobów wewnętrznych. Profesjonalna analiza pozwoli ustalić skalę incydentu i trwale zamknąć wektor ataku.

Cryptojacking to zagrożenie, które bywa lekceważone, bo nie widać jego efektów tak wyraźnie jak przy ransomware. Jednak cicha eksploatacja zasobów przez tygodnie lub miesiące może przynieść firmie znacznie wyższe łączne straty. Warto mieć plan reagowania gotowy zanim cokolwiek się wydarzy.