Cyberkriminelle haben weltweit zehntausende schlecht gesicherte Server übernommen, um ein großes Botnetz aufzubauen, das auf den Diebstahl von Kryptowährungen abzielt. Das geht aus einer neuen Studie des Cybersicherheitsunternehmens Check Point hervor. Die Angriffe nutzen schwache Passwörter und unzureichend geschützte Server aus, die direkt mit dem Internet verbunden sind.
Laut den Forschern sind derzeit mehr als 50.000 Server anfällig. Diese Systeme werden missbraucht, um Zugang zu kryptobezogener Infrastruktur zu erlangen und letztlich digitale Wallets zu leeren.
Angriffe durch GoBruteforcer-Malware
Die Angriffe werden mit der Malware namens GoBruteforcer ausgeführt. Diese Software versucht automatisch, sich auf Servern durch das Testen gängiger Benutzernamen und Passwörter einzuloggen. Sobald ein Log-in-Versuch erfolgreich ist, erhalten Angreifer vollen Zugriff auf das System.
Die Malware zielt vor allem auf Linux-Server ab, auf denen häufig genutzte Dienste wie FTP, MySQL, PostgreSQL und phpMyAdmin laufen. Diese Systeme werden oft für Websites und Datenbanken genutzt, sind jedoch in der Praxis häufig unzureichend gesichert.
Ein infizierter Server wird Teil des Botnetzes und kann dann eingesetzt werden, um andere gefährdete Server anzugreifen. Zudem können Angreifer Daten stehlen, zusätzliche Konten erstellen oder den Zugang zum Server weiterverkaufen.
Millionen Server öffentlich zugänglich
Eine wichtige Ursache für die groß angelegten Angriffe ist die hohe Zahl an Servern, die für den Internetverkehr offen stehen. Weltweit sind schätzungsweise Millionen von FTP- und Datenbankservern über Standardports direkt erreichbar, oft ohne starke Sicherheitsmaßnahmen.
GoBruteforcer wurde erstmals 2023 beobachtet, aber Mitte 2025 entdeckten Forscher eine neue, fortschrittlichere Variante. Diese Version ist schwerer zu erkennen und bleibt länger auf infizierten Systemen aktiv.
Schwache Passwörter und AI-Handbücher
Viele Angriffe gelingen durch einfache Sicherheitsfehler. Hacker nutzen Standardbenutzernamen wie appuser und myuser in Kombination mit schwachen Passwörtern wie admin123456. Diese Kombinationen stammen oft direkt aus Online-Handbüchern und Installationsanleitungen.
Laut Check Point tragen auch durch AI generierte Konfigurationshandbücher zum Problem bei. Diese wiederholen die gleichen Beispielkonfigurationen, was zur Verwendung identischer schwacher Anmeldedaten in großem Umfang führt.
Darüber hinaus zielen Angreifer gezielt auf Konten mit kryptobezogenen Namen wie cryptouser und crypto_app ab, in der Hoffnung, Server zu finden, die mit digitalen Währungen verbunden sind.
Fokus auf Cryptowallets mit Guthaben
Forscher entdeckten, dass einige infizierte Server eingesetzt wurden, um Blockchain-Adressen auf Guthaben zu scannen. Dabei wurden unter anderem tausende TRON-Wallets überprüft. Auf den entdeckten Systemen fanden sich Tools, welche Krypto-Token automatisch übertragen, sobald ein Wallet Guthaben aufgewiesen hat.
Analysen von Blockchain-Transaktionen deuten darauf hin, dass ein Teil dieser Angriffe erfolgreich war. Das bestätigt die Vermutung, dass Kryptoprojekte und Blockchain-Infrastrukturen ein gezieltes Ziel der Angriffskampagnen sind.
Veraltete Software birgt Risiken
Laut Check Point ist die Angriffswelle das Ergebnis eines strukturellen Problems. Viele Organisationen arbeiten weiterhin mit veralteter Software und Servern, die unzureichend geschützt sind. Besonders ältere Webumgebungen, bei denen Administratorpanels und FTP-Zugänge offen stehen, erweisen sich als attraktiv für Angreifer.
Die Forscher warnen, dass selbst relativ einfache Malware großen Schaden anrichten kann, solange schlecht gesicherte Systeme online bleiben. Ende 2025 wurde zudem festgestellt, dass einige infizierte Server auch von einer anderen Malwarefamilie genutzt wurden, was das Risiko weiter erhöht.
Die Ergebnisse machen deutlich, wie wichtig starke Passwörter, die Abschaltung nicht benötigter Internetzugänge und die Aktualisierung der Serversoftware sind.
Krypto-Wallet mit 650.000 Nutzern stellt nach Sicherheitslücke den Betrieb ein
Ctrl Wallet, eine Non-Custodial-Multichain-Wallet, mit der Nutzer ihre digitalen Vermögenswerte selbst verwalten, stellt den Betrieb endgültig ein.
Krypto-Hacks fast halbiert – Experten warnen vor wachsender Gefahr
Der gesamte finanzielle Schaden durch Cyberangriffe auf die Blockchain-Branche ist im ersten Halbjahr 2026 um 46,8 Prozent auf 1,31 Milliarden US-Dollar gesunken.
Sicherheitslücke gefährdet Tausende Krypto-Wallets
Tausende Krypto-Wallets könnten wegen einer Sicherheitslücke bei der Erstellung sogenannter Seed-Phrases für Diebstahl anfällig sein.
Meist gelesen
Analyst: XRP wird bald neue Millionäre hervorbringen
Eine auffällige Prognose zu XRP sorgt in der Community rund um den Coin für heftige Diskussionen.
Kann XRP auf 10.000 bis 50.000 Dollar steigen? ChatGPT erklärt, warum es möglich ist
Südkorea will auch kleine Kryptotransaktionen überwachen. Der Vorschlag soll Geldwäsche verhindern und internationale Vorschriften stärken.
Ex-Google-Ingenieur verkauft seine gesamten Bitcoin: „Das ist vorbei“
Der ehemalige Google-Ingenieur TechLead hat seine gesamten Bitcoin mit deutlichem Verlust verkauft. Er hält den Markt für anfällig, bleibt langfristig jedoch optimistisch.
