Blockchain-based cryptocurrencies, some of which require resource-intensive crypto mining through Proof-of-Work algorithms, have led to the emergence of cryptojacking, where unauthorized computing resources are exploited to mine cryptocurrency. Concurrently, a significant shift towards cloud services with virtually infinite resources has presented new opportunities for attackers: host-based cryptojacking on cloud systems. This poses significant risks, including increased operational costs and degraded user performance. Due to the limited research on host-based cryptojacking, this thesis aims to investigate the prevalence and patterns of cryptojacking attacks on cloud systems. By deploying honeypots across major cloud service providers, data is collected and analyzed to understand the threat landscapes across cloud service providers and the patterns of cryptojacking attacks. The results reveal notable differences in the threat landscape among cloud service providers, with variations in attack frequency and patterns. The analysis of the 26 caught cryptojacking malware samples suggests they belong to two distinct cryptojacking families. Following the analysis, YARA rules, a pattern-matching tool for malware detection, were developed to identify these cryptojacking families. These rules displayed great performance when applied to a constructed dataset of cryptojacking malware samples. The conclusion drawn from this study is that two cryptojacking families had a notable attack prevalence on cloud systems during the period of the study. Furthermore, the study provides a concept of how honeypot data can be leveraged to help mitigate cryptojacking attacks through the development of YARA rules. These findings highlight the need for adequate detection and mitigation strategies to protect cloud systems from cryptojacking attacks.

Blockkedjebaserade kryptovalutor, varav vissa kräver resursintensiv mining (”valutagrävning”) genom Proof-of-Work algoritmer, har lett till framväxten av cryptojacking, där obehöriga datorresurser utnyttjas för mining. Samtidigt har en signifikant övergång till molntjänster, som praktiskt taget har obegränsade resurser, skapat nya möjligheter för angripare: värdbaserad cryptojacking på molnsystem. Detta innebär betydande risker, inklusive ökade driftkostnader och försämrad användarprestanda. På grund av den begränsade forskningen på värdbaserad cryptojacking syftar denna studie till att undersöka förekomsten och mönstren av cryptojacking-attacker på molnsystem. Genom att sätta upp honeypots (”honungsfällor”) på större molntjänstleverantörer samlas data in och analyseras för att förstå hotlandskapen över molntjänstleverantörer och mönstren av cryptojacking-attacker. Resultaten avslöjar betydande skillnader i hotlandskapet bland molntjänst-leverantörer, med variationer i attackfrekvens och mönster. Analysen av de 26 fångade cryptojacking filerna tyder på att de tillhör två distinkta cryptojacking familjer. Efter analysen utvecklades YARA regler, ett mönstermatchnings-verktyg för detektering av skadlig programvara, för att identifiera dessa cryptojacking familjer. Reglerna visade god prestanda när de tillämpades på ett konstruerat dataset av cryptojacking filer. Slutsatsen som dras från denna studie är att två cryptojacking familjer hade en anmärkningsvärd attackförekomst på molnsystem under studieperioden. Vidare ger studien ett koncept om hur data från honeypots kan utnyttjas för att hjälpa till att begränsa cryptojacking-attacker genom utveckling av YARA regler. Dessa fynd understryker behovet av lämpliga detekterings- och begränsningsstrategier för att skydda molnsystem från cryptojacking-attacker.