Home
-
Blog
-
Jak wykryć kopanie kryptowalut w Twojej organizacji?
16/04/2025

Jak wykryć kopanie kryptowalut w Twojej organizacji?

W tym artykule pokazujemy, jakie objawy powinny zwrócić uwagę zespołów IT, jak wykrywać takie działania w ruchu sieciowym oraz jak w praktyce wygląda ich analiza z wykorzystaniem Sycope.

Author: Paweł Drzewiecki
Kopanie kryptowalut w środowisku firmowym narusza polityki bezpieczeństwa w rażący sposób — niezależnie od tego, czy robi to pracownik, czy cyberprzestępca. W efekcie infrastruktura zaczyna pracować na czyjś zysk, generując koszty i obciążenia, które trudno od razu powiązać z konkretną przyczyną. W tym artykule pokazujemy, jakie objawy powinny zwrócić uwagę zespołów IT, jak wykrywać takie działania w ruchu sieciowym oraz jak w praktyce wygląda ich analiza z wykorzystaniem Sycope.

Czym jest kryptojacking? 

Kryptojacking to sytuacja, w której ktoś wykorzystuje firmowe zasoby obliczeniowe do kopania kryptowalut bez zgody organizacji. W praktyce oznacza to uruchomienie na stacji roboczej, serwerze, a czasem w środowisku chmurowym procesu, którego jedynym celem jest wykonywanie obliczeń na rzecz „kopalni” i przekazywanie wyników na zewnątrz. Najważniejsze jest tu słowo „nieautoryzowane” — niezależnie od tego, czy za działanie odpowiada cyberprzestępca, czy pracownik, który „na chwilę” instaluje koparkę na służbowym sprzęcie. 

Z perspektywy organizacji kryptojacking jest problemem operacyjnym i kosztowym, a dopiero później technicznym. Zjada moc CPU i GPU, potrafi wysycić pamięć oraz I/O, a w efekcie obniża wydajność usług biznesowych, skraca żywotność sprzętu i podnosi zużycie energii. W chmurze skutki są jeszcze bardziej namacalne, bo przekładają się na rachunki: instancje pracują na wyższych obrotach, autoskalowanie dobija kolejne zasoby, a koszty rosną, choć biznesowo „nic się nie zmieniło”. 

Warto też jasno rozróżnić kryptojacking od legalnych, kontrolowanych testów obciążeniowych. Tu nie mówimy o planowanym użyciu mocy obliczeniowej w ramach projektu, tylko o ukrytym lub niezgodnym z polityką wykorzystaniu firmowej infrastruktury do prywatnego zysku. Dlatego w wielu organizacjach kryptojacking traktuje się podobnie jak nadużycie zasobów, a w scenariuszu z malware — jako element szerszego incydentu, który może być tylko „widocznym czubkiem” problemu.
W wielu jurysdykcjach (w tym w Polsce) nieautoryzowane kopanie na cudzej infrastrukturze może stanowić naruszenie art. 267 KK (nieuprawniony dostęp do systemu informatycznego) lub art. 268a KK (zakłócanie pracy systemu). 

Najczęstsze objawy w organizacji 

Kryptojacking bardzo rzadko objawia się w sposób jednoznaczny. W przeciwieństwie do ransomware czy awarii systemów nie powoduje natychmiastowego zatrzymania pracy. Zamiast tego pojawiają się symptomy, które łatwo uznać za zwykłe problemy wydajnościowe, starzejący się sprzęt albo chwilowe przeciążenia. 

Dlatego w praktyce SOC i NOC najczęściej spotykają się nie z jednym alarmującym sygnałem, ale z zestawem drobnych nieprawidłowości, które początkowo wydają się niepowiązane. 

Do najczęstszych objawów należą: 

  • nagły i długotrwały wzrost obciążenia CPU lub GPU, widoczny zarówno na stacjach roboczych, jak i na serwerach, mimo że użytkownicy nie wykonują operacji wymagających dużej mocy obliczeniowej; charakterystyczne jest to, że wysokie obciążenie utrzymuje się także poza godzinami pracy, 
  • spowolnienie działania systemów i aplikacji, szczególnie tych współdzielących zasoby z innymi usługami; użytkownicy zgłaszają wolniejsze działanie systemów, ale monitoring aplikacyjny nie wskazuje jednoznacznego powodu, 
  • nadmierne nagrzewanie się sprzętu oraz głośniejsza praca wentylatorów, co jest szczególnie zauważalne na stacjach roboczych i laptopach, które wcześniej działały stabilnie przy podobnym obciążeniu, 
  • pojawienie się nieznanych lub podejrzanie nazwanych procesów, często podszywających się pod elementy systemowe albo uruchamianych z nietypowych lokalizacji; procesy te potrafią restartować się po zakończeniu lub działać pod różnymi nazwami, 
  • zwiększone zużycie zasobów w środowiskach chmurowych, gdzie instancje zaczynają pracować pod wyższym obciążeniem lub mechanizmy autoskalowania uruchamiają dodatkowe zasoby bez zmian po stronie aplikacji, 
  • nietypowa aktywność urządzeń poza godzinami pracy, gdy infrastruktura generuje podobne obciążenie w nocy, weekendy lub święta, mimo że organizacja nie prowadzi wtedy intensywnych operacji. 

Kluczowe jest jednak to, że pojedynczy objaw nie oznacza jeszcze kryptojackingu. Wysokie użycie CPU może wynikać z aktualizacji systemu, backupu lub nowych zadań aplikacyjnych. Dopiero zestaw kilku symptomów występujących równocześnie powinien skłonić do dokładniejszej analizy. 

W praktyce właśnie takie „drobne anomalie”, zauważane w różnych miejscach infrastruktury, często okazują się pierwszym sygnałem, że część środowiska zaczęła pracować na czyjś zysk zamiast na potrzeby organizacji. 

Jak można wykryć kopanie kryptowalut w organizacji 

Choć pierwsze symptomy kryptojackingu najczęściej zauważalne są na poziomie stacji roboczych lub serwerów, najbardziej wiarygodne sygnały pojawiają się w ruchu sieciowym. Nawet jeśli złośliwe oprogramowanie skutecznie ukrywa się w systemie operacyjnym lub ogranicza zużycie zasobów, nadal musi komunikować się z zewnętrzną infrastrukturą odpowiedzialną za proces kopania. 

I właśnie tu pojawia się przewaga analizy sieci. Proces działający lokalnie można zamaskować, zmienić jego nazwę albo uruchamiać go tylko okresowo, ale komunikacji sieciowej nie da się całkowicie ukryć. Każda koparka musi stale wymieniać dane z serwerami zarządzającymi wydobyciem, co tworzy powtarzalne i stosunkowo łatwe do zauważenia wzorce ruchu. 

W praktyce zespoły SOC i NOC powinny zwracać uwagę przede wszystkim na: 

  • połączenia wychodzące na nietypowe porty, które nie są wykorzystywane przez standardowe aplikacje działające w organizacji; często są to porty charakterystyczne dla oprogramowania kopiącego, choć coraz częściej ruch jest maskowany jako zwykły ruch aplikacyjny, 
  • regularną komunikację z serwerami powiązanymi z pulami wydobywczymi, czyli infrastrukturą, która koordynuje proces kopania kryptowalut i do której urządzenia przesyłają wyniki obliczeń, 
  • nietypowe lub powtarzalne zapytania DNS, kierujące do domen, które nie są powiązane z normalną działalnością organizacji, a czasami zmieniają się bardzo często, aby utrudnić blokowanie ruchu, 
  • stały, długotrwały transfer danych generowany przez pojedynczy host, który utrzymuje komunikację z tymi samymi adresami przez wiele godzin lub dni, także poza godzinami pracy. 

Istotne jest to, że taki ruch zwykle nie jest bardzo duży. Koparka nie musi przesyłać ogromnych ilości danych, dlatego aktywność ta często ginie w tle codziennej komunikacji sieciowej. Dopiero spojrzenie na wzorce połączeń w dłuższym okresie pozwala zauważyć, że jedno urządzenie utrzymuje stały, powtarzalny kontakt z infrastrukturą zewnętrzną. 

Dlatego w praktyce mówi się, że sieć nie kłamie. Nawet jeśli na poziomie hosta trudno jednoznacznie wskazać problem, analiza ruchu pozwala szybko zauważyć urządzenia, które komunikują się w sposób nietypowy i wymagają dalszego sprawdzenia. To właśnie ten punkt staje się naturalnym momentem przejścia od ogólnej obserwacji do konkretnej analizy w narzędziach takich jak Sycope. 

Jak wygląda wykrywanie takich działań w Sycope 

W praktyce wykrywanie ruchu związanego z kopaniem kryptowalut nie powinno wymagać ręcznego analizowania ogromnych ilości danych sieciowych. Dlatego w Sycope analityk może w prosty sposób wyszukać połączenia, które odpowiadają wzorcom charakterystycznym dla kryptominingu, bez konieczności zagłębiania się w szczegóły techniczne komunikacji. 

System wykorzystuje gotowe zestawy znaczników i reguł powiązanych z ruchem generowanym przez koparki kryptowalut, w tym listy portów oraz charakterystycznych typów komunikacji. Dzięki temu możliwe jest natychmiastowe wskazanie hostów w sieci, które generują podejrzany ruch, bez potrzeby tworzenia własnych, skomplikowanych zapytań czy analizowania pojedynczych sesji. 

Przeciwnicy mogą instalować aplikacje do kopania kryptowalut na przejętych hostach, co jest jedną z konsekwencji złośliwej aktywności. Dodatkowo instalacja takich aplikacji może być wykonywana przez pracowników organizacji, którzy chcą wykorzystać darmową moc obliczeniową – co zazwyczaj stanowi naruszenie polityki bezpieczeństwa organizacji. 

Po wskazaniu takich urządzeń analityk może od razu sprawdzić, z jakimi adresami IP i domenami komunikują się dane hosty, jak długo utrzymywane są połączenia oraz czy ruch ma charakter stały i powtarzalny. To pozwala szybko ocenić, czy mamy do czynienia z realnym przypadkiem kryptojackingu, czy jedynie z nietypową, ale legalną aktywnością aplikacyjną. 

Zatem w jaki dokładnie sposób można spróbować wykryć technikę Resource Hijacking (https://attack.mitre.org/techniques/T1496/), czyli technikę MITRE ATT&CK związaną z kopaniem kryptowalut? 

Wykrycie takiej aktywności może być możliwe dzięki monitorowaniu komunikacji z/do nietypowych portów, np. 3333, 4444, 5555, 6666, 7777, 8888, 9999, a także reputacji adresów IP i URL-i związanych z hostami kryptowalutowymi. Można więc wykorzystać logi i dane przepływu z takich źródeł jak ruch sieciowy (Web Proxy, Firewall, Load Balancer, IDS/IPS, NetFlow), logi DNS, logi aplikacyjne, logi Sysmon / logi bezpieczeństwa, by wykryć taką aktywność. 

W systemie Sycope NSM możesz użyć poniższego zapytania, aby wyszukać takie aktywności w ruchu sieciowym: lookupKeyExists(„sec-port-cryptomining”, {„Port”: serverPort }) or lookupKeyExists(„sec-port-cryptomining”, {„Port”: clientPort })

Rysunek 1. Lookupy zawierające porty związane z aktywnością kopania kryptowalut

 

Rysunek 2. Analiza potencjalnej aktywności kopania kryptowalut w systemie Sycope NSM

Jak widać, analiza tego typu aktywności jest prosta i szybka – szczególnie jeśli dysponujemy odpowiednim narzędziem do tworzenia szybkich zapytań typu threat hunting. Najważniejsze w tym podejściu jest to, że droga od pierwszego podejrzenia do wskazania konkretnego urządzenia zajmuje zwykle kilka minut. Dzięki temu zespół SOC lub NOC może szybko przejść do dalszej analizy hosta i ograniczenia ryzyka, zamiast tracić czas na ręczne przeszukiwanie logów z wielu różnych systemów. 

Co organizacja powinna zrobić, jeśli wykryje takie zachowanie 

Samo wykrycie ruchu wskazującego na kopanie kryptowalut nie musi jeszcze oznaczać poważnego incydentu bezpieczeństwa, ale zawsze powinno uruchomić podstawową procedurę weryfikacyjną. Kluczowe jest szybkie ograniczenie wykorzystania zasobów oraz ustalenie, czy mamy do czynienia z pojedynczym przypadkiem nadużycia, czy z elementem większego problemu bezpieczeństwa. 

W praktyce pierwsze działania zwykle sprowadzają się do kilku kroków, które pozwalają szybko ustabilizować sytuację i zebrać niezbędne informacje do dalszej analizy. 

  • Odłączyć lub ograniczyć komunikację podejrzanego hosta
    Jeśli urządzenie generuje ruch charakterystyczny dla koparki kryptowalut, warto czasowo odizolować je od sieci lub przynajmniej ograniczyć ruch wychodzący. Nie chodzi od razu o całkowite wyłączenie systemu, lecz o zatrzymanie dalszego wykorzystania zasobów i potencjalnej komunikacji z infrastrukturą zewnętrzną. Jednocześnie dobrze jest zachować możliwość analizy systemu w aktualnym stanie, zanim zostanie on zrestartowany lub zmodyfikowany. 
  • Sprawdzić procesy i uruchomione usługi na urządzeniu
    Kolejnym krokiem powinna być weryfikacja tego, co faktycznie działa na danym hoście. Warto sprawdzić listę aktywnych procesów, zaplanowanych zadań oraz usług uruchamianych automatycznie przy starcie systemu. Koparki często próbują ukrywać się pod nazwami przypominającymi elementy systemowe lub aplikacje użytkowe, dlatego istotne jest zwrócenie uwagi na procesy działające z nietypowych lokalizacji lub generujące stałe obciążenie procesora. 
  • Poinformować odpowiednie zespoły lub osoby odpowiedzialne za bezpieczeństwo
    Nawet jeśli problem wydaje się lokalny, informacja powinna trafić do zespołów odpowiedzialnych za bezpieczeństwo i administrację infrastruktury. Pozwala to sprawdzić, czy podobne objawy nie pojawiają się już w innych segmentach sieci, lokalizacjach lub środowiskach chmurowych. W wielu przypadkach dopiero po zestawieniu informacji z różnych części organizacji okazuje się, że problem dotyczy większej liczby urządzeń. 
  • Zweryfikować polityki bezpieczeństwa i uprawnienia użytkowników
    Ostatnim, ale bardzo ważnym krokiem jest sprawdzenie, w jaki sposób oprogramowanie kopiące znalazło się w środowisku. Czy użytkownik miał możliwość samodzielnej instalacji aplikacji? Czy urządzenie było odpowiednio aktualizowane? Czy dostęp administracyjny nie jest przyznawany zbyt szeroko? Taka analiza pozwala ograniczyć ryzyko powtórzenia podobnej sytuacji w przyszłości. 

Ta podstawowa checklista nie zastępuje pełnej procedury reagowania na incydenty, ale w większości przypadków pozwala szybko ustalić skalę problemu i zdecydować, czy potrzebna jest dalsza, bardziej szczegółowa analiza bezpieczeństwa. 

FAQ — najczęstsze pytania o kryptojacking w organizacji 

Czy pracownik może legalnie kopać kryptowaluty na firmowym komputerze, jeśli nie powoduje to problemów? 

W większości organizacji odpowiedź brzmi: nie. Nawet jeśli użytkownik twierdzi, że koparka nie wpływa na wydajność systemu, nadal oznacza to wykorzystanie firmowych zasobów do prywatnych celów bez zgody pracodawcy. 

Dodatkowo nawet niewielkie, ale stałe obciążenie przekłada się na wyższe zużycie energii, szybsze zużycie sprzętu oraz potencjalne ryzyko bezpieczeństwa, ponieważ oprogramowanie kopiące często komunikuje się z zewnętrzną infrastrukturą, nad którą organizacja nie ma kontroli. Z tego powodu instalowanie takich narzędzi zwykle narusza regulaminy użytkowania sprzętu i polityki bezpieczeństwa. 

Jakie porty są najczęściej wykorzystywane przez koparki kryptowalut? 

W praktyce często spotyka się ruch realizowany przez porty takie jak 3333, 4444, 5555 czy 7777, które są historycznie powiązane z popularnym oprogramowaniem do kopania kryptowalut. 

Problem polega jednak na tym, że współczesne narzędzia oraz malware coraz częściej korzystają z innych portów albo tunelują ruch przez standardowe usługi, aby utrudnić wykrycie. Dlatego sama obserwacja numeru portu nie wystarcza do jednoznacznego stwierdzenia problemu. Znacznie ważniejsze jest analizowanie wzorców komunikacji i stałości połączeń wychodzących. 

Czy klasyczny antywirus wystarczy, żeby wykryć kryptojacking? 

Czasami tak, szczególnie gdy wykorzystywane jest znane oprogramowanie kopiące lub malware rozpoznawane przez aktualne bazy sygnatur. Problem polega na tym, że wiele nowoczesnych wariantów koparek działa w sposób utrudniający wykrycie albo wykorzystuje legalne narzędzia systemowe do uruchamiania procesów kopania. 

Dlatego w praktyce skuteczniejsze jest łączenie informacji z urządzeń końcowych z analizą ruchu sieciowego. Nawet jeśli proces na hoście nie zostanie od razu rozpoznany jako zagrożenie, jego komunikacja z infrastrukturą wydobywczą pozostawia wyraźne ślady w sieci. 

Czy kopanie kryptowalut zawsze oznacza atak na organizację? 

Nie zawsze. W części przypadków źródłem problemu okazuje się pracownik, który samodzielnie instaluje koparkę na służbowym sprzęcie lub wykorzystuje zasoby serwera do prywatnych celów. 

Z punktu widzenia organizacji efekt jest jednak podobny — zasoby infrastruktury są wykorzystywane w sposób nieautoryzowany, co generuje koszty i zwiększa ryzyko operacyjne. Dodatkowo takie działania mogą maskować inne problemy bezpieczeństwa lub utrudniać ich wykrycie. 

Co zrobić, jeśli wykryję kopanie kryptowalut w mojej organizacji? 

Najważniejsze jest szybkie ograniczenie ryzyka i ustalenie źródła problemu. W pierwszej kolejności warto: 

  • odizolować podejrzane urządzenie lub ograniczyć jego komunikację sieciową, 
  • sprawdzić procesy oraz zainstalowane oprogramowanie, 
  • przeanalizować logi systemowe i sieciowe, aby ustalić moment rozpoczęcia aktywności, 
  • zweryfikować sposób, w jaki oprogramowanie znalazło się w środowisku, 
  • oraz zaktualizować polityki i zabezpieczenia, aby zapobiec podobnym sytuacjom w przyszłości. 

Takie działania zwykle pozwalają szybko ustalić, czy problem dotyczy pojedynczego urządzenia, czy też szerszego fragmentu infrastruktury. 

Kryptojacking stał się realnym, codziennym problemem operacyjnym, ale dzięki widoczności ruchu sieciowego można go wykryć szybko, zanim zacznie realnie wpływać na wydajność i koszty infrastruktury. Platforma Sycope pozwala zrobić to w prosty i szybki sposób, umożliwiając zespołom SOC i NOC sprawne przejście od pierwszego sygnału do wskazania konkretnego źródła problemu.
 

FAQ

Jak wykryć kopanie kryptowalut w Twojej organizacji?

Wykrycie kopania kryptowalut może być możliwe dzięki monitorowaniu komunikacji z/do nietypowych portów, np. 3333, 4444, 5555, 6666, 7777, 8888, 9999, a także reputacji adresów IP i URL-i związanych z hostami kryptowalutowymi. Można wykorzystać logi i dane przepływu z takich źródeł jak ruch sieciowy (Web Proxy, Firewall, Load Balancer, IDS/IPS, NetFlow), logi DNS, logi aplikacyjne, logi Sysmon/logi bezpieczeństwa, by wykryć taką aktywność.

Dlaczego kopanie kryptowalut w organizacji jest niepożądane?

Kopanie kryptowalut może być konsekwencją złośliwej aktywności, prowadząc do naruszenia polityki bezpieczeństwa organizacji i wykorzystania zasobów obliczeniowych bez zgody.

Jakie narzędzia mogą pomóc w wykrywaniu kryptowalut w sieci?

Można użyć systemu Sycope NSM oraz innych narzędzi do monitorowania ruchu sieciowego, aplikacji Web Proxy, Firewall, IDS/IPS, NetFlow, logów DNS czy aplikacyjnych.

Jakie porty są często używane w kryptowalutowych operacjach sieciowych?

Nietypowe porty często używane w kryptowalutowych operacjach to m.in. 3333, 4444, 5555, 6666, 7777, 8888, 9999.

Jakie jest zastosowanie systemu Sycope NSM w kontekście wykrywania kryptowalut?

System Sycope NSM umożliwia szybkie wyszukiwanie aktywności sieciowych związanych z kopaniem kryptowalut poprzez tworzenie zapytań oparte na portach powiązanych z tą aktywnością.

Analizy NetFlow MITRE ATT&CK Skanowanie sieci Wykrywanie kopania kryptowalut
Może Cię zainteresować
Blog
Nowa wersja Sycope 2.2
Nowa wersja oprogramowania Sycope jest już gotowa! Zawiera m.in. dynamiczne wartości bazowe (baseline) oraz możliwość dodawania własnych pól NetFlow.
Magda Bącela
16/04/2025
Czytaj więcej >
This week top knowledge
Blog
Jak w Sycope monitorować zaszyfrowany ruch?
Ze względu na powszechność zaszyfrowanego ruchu w organizacjach, jego monitorowanie jako technika może być szczególnie korzystne.
Paweł Drzewiecki
16/04/2025
Czytaj więcej >
Blog
Gotowe do użycia monitorowanie wydajności sieci
Partnerstwo Sycope i Garland Technology — monitoruj i reaguj na zdarzenia z pełną pewnością, mając dostęp do pełnego ruchu w sieci.
Marcin Kaźmierczak
03/06/2025
Czytaj więcej >
Blog
3 trendy IT, które pozostaną z nami na długo
Co przyniesie nam przyszłość? Zadaliśmy sobie to pytanie w kontekście monitorowania sieci i ogólnego świata IT.
Marcin Kaźmierczak
16/04/2025
Czytaj więcej >
x
Leveraging the nTop nDPI for Application Visibility within Sycope/nProbe integration
< Previous video
Next video >
Leveraging the nTop nDPI for Application Visibility within Sycope/nProbe integration
Produkty
Produkty
Visibility Performance Security Asset discovery
Źródła
Źródła
Baza wiedzy
Dokumentacja
 Integracje Case studies FAQ
Firma
Firma
O nas Kariera Partnerzy Dla Inwestorów
© 2026 Sycope S.A. Wszystkie prawa zastrzezone. Polityka prywatności
Ta witryna jest zarejestrowana pod adresem wpml.org jako witryna rozwojowa. Przełącz się na klucz witryny produkcyjnej na remove this banner.