Gehackte Server für eine Handvoll Dollar

16. Juni 2016, 11:36
  • security
  • cyberangriff
image

Kaspersky beschreibt einen professionellen Online-Marktplatz für Serverzugänge.

Kaspersky beschreibt einen professionellen Online-Marktplatz für Serverzugänge.
Ein Forscherteam des Security-Softwareanbieters Kaspersky Labs hat einen Online-Marktplatz für gehackte Server entdeckt. Darauf wurden Zugänge zu über 72'000 Servern feilgeboten, die gehackt wurden, ohne dass ihre Besitzer dies bemerkt haben. Dabei handelte es sich ausschliesslich um Server, die via Remote Desktop Protocol (RDP) erreichbar sind. Laut Kaspersky kamen die Angreifer wahrscheinlich durch Brute-Force-Angriffe zu den Passwörtern. Dies deutet darauf hin, dass einfache Passwörter verwendet wurden. Zudem dürften auf diesen Systemen die Anzahl der möglichen Fehlversuche bei der Passworteingabe nicht beschränkt worden sein.
Der Marktplatz Xdedic.biz war laut Kaspersky bisher frei zugänglich, man musste sich lediglich mit einer E-Mail-Adresse als User registrieren. Die Security-Spezialisten rieten aber eindringlich davon ab, dies zu tun. Der Kaspersky-Bericht wurde gestern veröffentlicht. Mittlerweile scheint die Site vom Netz genommen worden zu nein.
Wer benutzt Deinen Server auch noch?
Die gehackten Server stammen laut dem ausführlichen Bericht des Kaspersky-Teams aus 173 Ländern. In der Liste der meistvertretenen Länder taucht die Schweiz nicht auf, aber es ist mit grosser Wahrscheinlichkeit anzunehmen, dass auch Schweizer Server angeboten wurden. Das Team konnte einige der Betreiber identifizieren und warnen, viele weitere dürften aber noch komplett ahnungslos sein, dass ihre Server kompromittiert sind.
Die Site wurde laut Kaspersky hoch professionell geführt. Als Anbieter wurden über 400 verschiedene Verkäufer genannt. User konnten die Serverzugänge nach Land, Betriebssystem, Admin-Zugang und vielen weiteren Kriterien filtern. Die Markplatzbetreiber selbst prüften die Server und listeten ihre Eigenschaften auf. Dazu gehören beispielsweise Konfiguration, Speicher, ob die Server Zugang zu interessanten Online-Services bieten, beispielsweise Online-Banking, Wett-Sites oder Online-Shops, oder ob bereits Malware darauf installiert ist.
Serverzugänge ab sechs Dollar
Die Käufer verlangten für die Zugänge sechs bis zu einigen Tausend Dollar. Bei den teureren Servern dürfte deren "Inhalt" an sich für Cyberkriminelle interessant sein, zum Beispiel Buchhaltungssoftware, Kassensoftware, die Zugang zu Kreditkartendaten bieten könnte, oder Steuersoftware. Die billigeren Server werden dagegen eher für andere Zwecke verwendet. Zum Beispiel können sie zum Verschicken von Spam oder als Bitcoin-Miner missbraucht werden.
Gehackte aber an sich unwichtige Server werden von Cyberkriminellen auch oft dazu verwendet, um die im Rahmen eines erfolgreichen Angriffs auf ein wichtiges System eingeschleuste Malware zu steuern. Diese Server, die legitimen Betreibern gehören, dienen als Zwischenstation bei der Kommunikation zwischen der Malware und Angreifern, um Befehle weiterzugeben oder abgesogene Daten zwischenzulagern. Diese Methode wurde beispielsweise von den Hackern verwendet, welche die Ruag angegriffen haben.
Der Bericht des Kaspersky-Teams zeigt, wie einfach und billig Hacker an solche Server kommen können. Zudem, so Kaspersky, ist die Geschichte ein weiteres Beispiel für die zunehmende Spezialisierung und Aufgabenteilung innerhalb der Szene der Cyberspione und -Kriminellen. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werden, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022
image

Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen

Im 1. Teil unserer Artikelserie zeigen wir, wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.

Von publiziert am 18.5.2022
image

Google will "gehärtete" Open-Source-Software vertreiben

Der Cloudriese scheint von der Sorge vieler Unternehmen über die Sicherheit ihrer Software-Lieferkette profitieren zu wollen.

publiziert am 18.5.2022