Lerne KI in neuem Online-Kurs, jetzt starten.

Kryptomining-Angriffe bedrohen Cloud-Infrastrukturen 2026

von | 29.03.2022 | Digital

Cyber Security

Kryptomining-Angriffe auf Cloud-Infrastrukturen haben sich zu einer der lukrativsten Bedrohungen für Unternehmen entwickelt. Cyberkriminelle kompromittieren gezielt Cloud-Systeme und verwandeln sie in rentable Mining-Farmen – oft kämpfen dabei sogar verschiedene Hacker-Gruppen um die Kontrolle über dieselben Systeme.

Die Bedrohungslage hat sich seit 2024 dramatisch verschärft. Aktuelle Analysen zeigen, dass Angreifer zunehmend auf KI-gestützte Methoden setzen, um verwundbare Cloud-Instanzen zu identifizieren. Dabei nutzen sie automatisierte Tools für Brute-Force-Angriffe auf SSH-Zugänge, Container-Escapes und die Ausnutzung von Kubernetes-Fehlkonfigurationen.

Die Opfer weisen typische Schwachstellen auf: veraltete Container-Images, ungesicherte API-Endpunkte, zu weitreichende IAM-Berechtigungen oder unzureichend konfigurierte Multi-Cloud-Umgebungen. Die rasante Adoption von Edge Computing und serverless Architekturen hat zusätzliche Angriffsvektoren geschaffen, die viele IT-Teams noch nicht vollständig im Blick haben.

Besonders problematisch ist die Entwicklung hin zu „Cloud-nativen“ Mining-Operationen. Moderne Angreifer nutzen Kubernetes-Cluster, um ihre Mining-Software horizontal zu skalieren und dabei die Erkennungsmechanismen zu umgehen. Sie setzen auf ephemere Container, die nur wenige Minuten laufen, bevor sie sich selbst zerstören und an anderer Stelle wieder auftauchen.

Die wirtschaftlichen Auswirkungen sind verheerend: Betroffene Unternehmen berichten von Cloud-Kostensteigerungen um bis zu 800 Prozent innerhalb weniger Tage. Ein kompromittierter High-Performance-Computing-Cluster kann Angreifern täglich mehrere tausend Dollar an Mining-Erträgen bescheren, während dem Unternehmen gleichzeitig massive Infrastrukturkosten entstehen.

Doch Kryptomining ist oft nur der Anfang. Viele professionelle Bedrohungsakteure nutzen Mining-Software als „Monetarisierungsbrücke“, während sie gleichzeitig sensible Daten exfiltrieren oder Ransomware-Angriffe vorbereiten. Die Mining-Aktivität verschafft ihnen Zeit und Geld, um aufwendigere Angriffe zu planen.

„Die Geschwindigkeit, mit der Angreifer heute Cloud-Ressourcen kompromittieren und monetarisieren können, ist beeindruckend und besorgniserregend zugleich“, erklärt ein führender Cloud-Security-Experte. „Wir sehen einen regelrechten ‚Rush‘ auf ungesicherte Cloud-Infrastrukturen – wie einen digitalen Goldrausch.“

Krypto Farming gefährdet

Krypto Mining auf gekaperten Cloud-Systemen

Bedrohung von Krypto-Mining

Die aktuellen Mining-Gruppen haben ihre Taktiken erheblich verfeinert. Hier die gefährlichsten Akteure und ihre modernsten Vorgehensweisen:

  • Outlaw 2.0 hat seine Angriffsmethoden erweitert und kompromittiert jetzt auch IoT-Edge-Geräte und serverless Functions. Die Gruppe nutzt Zero-Day-Exploits und KI-gestützte Passwort-Cracking-Tools.
  • TeamTNT Evolution konzentriert sich auf Multi-Cloud-Umgebungen und nutzt gestohlene Cloud-API-Keys für laterale Bewegungen zwischen verschiedenen Cloud-Providern. Sie haben spezialisierte Tools für AWS, Azure und Google Cloud entwickelt.
  • Kinsing Advanced setzt auf Container-basiertes Mining und nutzt Kubernetes-Schwachstellen. Die Gruppe kann Mining-Workloads automatisch auf weniger überwachte Nodes verlagern.
  • 8220 Collective hat sich mit anderen Gruppen zu einem Mining-Kartell zusammengeschlossen. Sie teilen sich Infrastrukturen und koordinieren Angriffe, um maximale Erträge zu erzielen.
  • CloudReaper (neu seit 2025) spezialisiert sich auf GPU-Mining in Cloud-Gaming und KI-Infrastrukturen. Die Gruppe nutzt gestohlene Rechenleistung für sowohl Kryptomining als auch KI-Training.

Zur Abwehr dieser hochentwickelten Bedrohungen sind moderne, vielschichtige Sicherheitsstrategien erforderlich:

  • Zero-Trust-Architektur: Implementiert kontinuierliche Verifikation aller Cloud-Ressourcen und -Zugriffe, unabhängig von der Quelle.
  • KI-basierte Anomalieerkennung: Maschinelles Lernen erkennt ungewöhnliche CPU-, GPU- und Netzwerk-Aktivitätsmuster in Echtzeit.
  • Container- und Kubernetes-Security: Spezialisierte Tools überwachen Container-Lifecycles und Kubernetes-API-Aufrufe auf verdächtige Aktivitäten.
  • Cloud Security Posture Management (CSPM): Automatisierte Erkennung und Behebung von Fehlkonfigurationen in Multi-Cloud-Umgebungen.
  • Behavioral Analysis: Überwachung von Anwendungsverhalten und automatische Isolation verdächtiger Workloads.
  • Resource Governance: Implementierung strikter Limits für Rechenressourcen und automatische Benachrichtigungen bei Überschreitungen.
  • Threat Intelligence Integration: Echtzeitabgleich mit aktuellen IoCs (Indicators of Compromise) bekannter Mining-Pools und C2-Server.

Proaktive Verteidigung

Entscheidend ist ein proaktiver Ansatz: Statt nur auf Angriffe zu reagieren, sollten Unternehmen ihre Cloud-Infrastrukturen kontinuierlich auf Schwachstellen scannen. Automated Penetration Testing und Red-Team-Simulationen helfen dabei, Sicherheitslücken zu identifizieren, bevor sie von Angreifern ausgenutzt werden.

Cloud-Provider haben inzwischen erweiterte Schutzmaschinen eingeführt. AWS GuardDuty, Azure Sentinel und Google Cloud Security Command Center bieten spezialisierte Erkennungsregeln für Kryptomining-Aktivitäten. Diese sollten unbedingt aktiviert und konfiguriert werden.

Die Bedrohung durch Cloud-Mining wird 2026 weiter zunehmen, da Kryptowährungen wieder an Wert gewinnen und die Cloud-Adoption beschleunigt. Unternehmen müssen ihre Sicherheitsstrategien entsprechend anpassen und in moderne, KI-gestützte Verteidigungstechnologien investieren.

Zuletzt aktualisiert am 22.02.2026

Jörg Schieb bietet mit Pro, Plus und Flat digitale Newsletter, eBooks und Anleitungen für Menschen, die sich in der digitalen Welt zurechtfinden wollen.