Hack
Cyberkriminelle haben weltweit zehntausende schlecht gesicherte Server übernommen, um ein großes Botnetz aufzubauen, das auf den Diebstahl von Kryptowährungen abzielt. Das geht aus einer neuen Studie des Cybersicherheitsunternehmens Check Point hervor. Die Angriffe nutzen schwache Passwörter und unzureichend geschützte Server aus, die direkt mit dem Internet verbunden sind.
Laut den Forschern sind derzeit mehr als 50.000 Server anfällig. Diese Systeme werden missbraucht, um Zugang zu kryptobezogener Infrastruktur zu erlangen und letztlich digitale Wallets zu leeren.
Angriffe durch GoBruteforcer-Malware
Die Angriffe werden mit der Malware namens GoBruteforcer ausgeführt. Diese Software versucht automatisch, sich auf Servern durch das Testen gängiger Benutzernamen und Passwörter einzuloggen. Sobald ein Log-in-Versuch erfolgreich ist, erhalten Angreifer vollen Zugriff auf das System.
Die Malware zielt vor allem auf Linux-Server ab, auf denen häufig genutzte Dienste wie FTP, MySQL, PostgreSQL und phpMyAdmin laufen. Diese Systeme werden oft für Websites und Datenbanken genutzt, sind jedoch in der Praxis häufig unzureichend gesichert.
Ein infizierter Server wird Teil des Botnetzes und kann dann eingesetzt werden, um andere gefährdete Server anzugreifen. Zudem können Angreifer Daten stehlen, zusätzliche Konten erstellen oder den Zugang zum Server weiterverkaufen.
Millionen Server öffentlich zugänglich
Eine wichtige Ursache für die groß angelegten Angriffe ist die hohe Zahl an Servern, die für den Internetverkehr offen stehen. Weltweit sind schätzungsweise Millionen von FTP- und Datenbankservern über Standardports direkt erreichbar, oft ohne starke Sicherheitsmaßnahmen.
GoBruteforcer wurde erstmals 2023 beobachtet, aber Mitte 2025 entdeckten Forscher eine neue, fortschrittlichere Variante. Diese Version ist schwerer zu erkennen und bleibt länger auf infizierten Systemen aktiv.
Schwache Passwörter und AI-Handbücher
Viele Angriffe gelingen durch einfache Sicherheitsfehler. Hacker nutzen Standardbenutzernamen wie appuser und myuser in Kombination mit schwachen Passwörtern wie admin123456. Diese Kombinationen stammen oft direkt aus Online-Handbüchern und Installationsanleitungen.
Laut Check Point tragen auch durch AI generierte Konfigurationshandbücher zum Problem bei. Diese wiederholen die gleichen Beispielkonfigurationen, was zur Verwendung identischer schwacher Anmeldedaten in großem Umfang führt.
Darüber hinaus zielen Angreifer gezielt auf Konten mit kryptobezogenen Namen wie cryptouser und crypto_app ab, in der Hoffnung, Server zu finden, die mit digitalen Währungen verbunden sind.
Fokus auf Cryptowallets mit Guthaben
Forscher entdeckten, dass einige infizierte Server eingesetzt wurden, um Blockchain-Adressen auf Guthaben zu scannen. Dabei wurden unter anderem tausende TRON-Wallets überprüft. Auf den entdeckten Systemen fanden sich Tools, welche Krypto-Token automatisch übertragen, sobald ein Wallet Guthaben aufgewiesen hat.
Analysen von Blockchain-Transaktionen deuten darauf hin, dass ein Teil dieser Angriffe erfolgreich war. Das bestätigt die Vermutung, dass Kryptoprojekte und Blockchain-Infrastrukturen ein gezieltes Ziel der Angriffskampagnen sind.
Veraltete Software birgt Risiken
Laut Check Point ist die Angriffswelle das Ergebnis eines strukturellen Problems. Viele Organisationen arbeiten weiterhin mit veralteter Software und Servern, die unzureichend geschützt sind. Besonders ältere Webumgebungen, bei denen Administratorpanels und FTP-Zugänge offen stehen, erweisen sich als attraktiv für Angreifer.
Die Forscher warnen, dass selbst relativ einfache Malware großen Schaden anrichten kann, solange schlecht gesicherte Systeme online bleiben. Ende 2025 wurde zudem festgestellt, dass einige infizierte Server auch von einer anderen Malwarefamilie genutzt wurden, was das Risiko weiter erhöht.
Die Ergebnisse machen deutlich, wie wichtig starke Passwörter, die Abschaltung nicht benötigter Internetzugänge und die Aktualisierung der Serversoftware sind.
Hacker stiehlt Millionen von einer ehemaligen DeFi-Plattform auf Ethereum
Ein Hacker hat bei Aztec Connect, einer ehemaligen DeFi-Plattform auf Ethereum, etwa 2,1 Millionen Dollar an Kryptowährungen erbeutet.
Jugendlicher stiehlt Bitcoin im Wert von 13 Millionen Dollar und gibt es für Lamborghinis aus
Kanadischer Jugendlicher gesteht Krypto-Betrug über 13 Millionen Dollar und gab gestohlenes Geld für Luxusautos und Privatjets aus.
Governance-Angriff kostet Krypto-Projekt Token of Power 1,58 Millionen Dollar
Nachdem der Angreifer die Kontrolle übernommen hatte, aktivierte er eine Funktion, die die Erstellung neuer TOP-Token ermöglichte.
Meist gelesen
Kann der XRP-Kurs auf 10.000 Dollar steigen? Das sagt ein Analyst
Wird der Wert von XRP durch Spekulation oder echten Einsatz bestimmt? Analyst Eri erklärt, wie kollektives Vertrauen den Kurs beeinflusst.
XRP-Investoren verkaufen verstärkt mit Verlust – ein positives Zeichen
XRP-Investoren verkaufen zunehmend mit Verlust, ein Signal, das laut On-Chain-Daten häufig in der Nähe von Tiefpunkten auftritt.
Analyst sieht bedeutendes Signal für XRP: ‚Ein Gigapump steht bevor‘
Ein Analyst prognostiziert einen bedeutenden Kursanstieg für XRP und verweist auf eine wichtige Unterstützungsmarke. Es handelt sich jedoch um eine spekulative Einschätzung.