Zehntausende Server für weltweiten Angriff auf Krypto-Wallets missbraucht

Cyberkriminelle haben weltweit zehntausende schlecht gesicherte Server übernommen, um ein großes Botnetz aufzubauen, das auf den Diebstahl von Kryptowährungen abzielt. Das geht aus einer neuen Studie des Cybersicherheitsunternehmens Check Point hervor. Die Angriffe nutzen schwache Passwörter und unzureichend geschützte Server aus, die direkt mit dem Internet verbunden sind.

Laut den Forschern sind derzeit mehr als 50.000 Server anfällig. Diese Systeme werden missbraucht, um Zugang zu kryptobezogener Infrastruktur zu erlangen und letztlich digitale Wallets zu leeren.

Angriffe durch GoBruteforcer-Malware

Die Angriffe werden mit der Malware namens GoBruteforcer ausgeführt. Diese Software versucht automatisch, sich auf Servern durch das Testen gängiger Benutzernamen und Passwörter einzuloggen. Sobald ein Log-in-Versuch erfolgreich ist, erhalten Angreifer vollen Zugriff auf das System.

Die Malware zielt vor allem auf Linux-Server ab, auf denen häufig genutzte Dienste wie FTP, MySQL, PostgreSQL und phpMyAdmin laufen. Diese Systeme werden oft für Websites und Datenbanken genutzt, sind jedoch in der Praxis häufig unzureichend gesichert.

Ein infizierter Server wird Teil des Botnetzes und kann dann eingesetzt werden, um andere gefährdete Server anzugreifen. Zudem können Angreifer Daten stehlen, zusätzliche Konten erstellen oder den Zugang zum Server weiterverkaufen.

Millionen Server öffentlich zugänglich

Eine wichtige Ursache für die groß angelegten Angriffe ist die hohe Zahl an Servern, die für den Internetverkehr offen stehen. Weltweit sind schätzungsweise Millionen von FTP- und Datenbankservern über Standardports direkt erreichbar, oft ohne starke Sicherheitsmaßnahmen.

GoBruteforcer wurde erstmals 2023 beobachtet, aber Mitte 2025 entdeckten Forscher eine neue, fortschrittlichere Variante. Diese Version ist schwerer zu erkennen und bleibt länger auf infizierten Systemen aktiv.

Schwache Passwörter und AI-Handbücher

Viele Angriffe gelingen durch einfache Sicherheitsfehler. Hacker nutzen Standardbenutzernamen wie appuser und myuser in Kombination mit schwachen Passwörtern wie admin123456. Diese Kombinationen stammen oft direkt aus Online-Handbüchern und Installationsanleitungen.

Laut Check Point tragen auch durch AI generierte Konfigurationshandbücher zum Problem bei. Diese wiederholen die gleichen Beispielkonfigurationen, was zur Verwendung identischer schwacher Anmeldedaten in großem Umfang führt.

Darüber hinaus zielen Angreifer gezielt auf Konten mit kryptobezogenen Namen wie cryptouser und crypto_app ab, in der Hoffnung, Server zu finden, die mit digitalen Währungen verbunden sind.

Fokus auf Cryptowallets mit Guthaben

Forscher entdeckten, dass einige infizierte Server eingesetzt wurden, um Blockchain-Adressen auf Guthaben zu scannen. Dabei wurden unter anderem tausende TRON-Wallets überprüft. Auf den entdeckten Systemen fanden sich Tools, welche Krypto-Token automatisch übertragen, sobald ein Wallet Guthaben aufgewiesen hat.

Analysen von Blockchain-Transaktionen deuten darauf hin, dass ein Teil dieser Angriffe erfolgreich war. Das bestätigt die Vermutung, dass Kryptoprojekte und Blockchain-Infrastrukturen ein gezieltes Ziel der Angriffskampagnen sind.

Veraltete Software birgt Risiken

Laut Check Point ist die Angriffswelle das Ergebnis eines strukturellen Problems. Viele Organisationen arbeiten weiterhin mit veralteter Software und Servern, die unzureichend geschützt sind. Besonders ältere Webumgebungen, bei denen Administratorpanels und FTP-Zugänge offen stehen, erweisen sich als attraktiv für Angreifer.

Die Forscher warnen, dass selbst relativ einfache Malware großen Schaden anrichten kann, solange schlecht gesicherte Systeme online bleiben. Ende 2025 wurde zudem festgestellt, dass einige infizierte Server auch von einer anderen Malwarefamilie genutzt wurden, was das Risiko weiter erhöht.

Die Ergebnisse machen deutlich, wie wichtig starke Passwörter, die Abschaltung nicht benötigter Internetzugänge und die Aktualisierung der Serversoftware sind.

Schon deine 15 XRP als Willkomensbonus beansprucht?

Bitvavo in Zusammenarbeit mit Bitvavo bietet dir aktuell 15 XRP als Geschenk. Die Aktion gilt bis zum Ende dieses Monats.

Eröffne bis einschließlich 31. Januar 2026 ein Konto und zahle mindestens 30€ ein, um den Bonus zu erhalten.

👉 Konto eröffnen und 15 XRP gratis erhalten

Über 1,5 Millionen Nutzer vertrauen bereits auf Bitvavo.