Gehackte Server für eine Handvoll Dollar

16. Juni 2016, 11:36
  • security
  • cyberangriff
image

Kaspersky beschreibt einen professionellen Online-Marktplatz für Serverzugänge.

Kaspersky beschreibt einen professionellen Online-Marktplatz für Serverzugänge.
Ein Forscherteam des Security-Softwareanbieters Kaspersky Labs hat einen Online-Marktplatz für gehackte Server entdeckt. Darauf wurden Zugänge zu über 72'000 Servern feilgeboten, die gehackt wurden, ohne dass ihre Besitzer dies bemerkt haben. Dabei handelte es sich ausschliesslich um Server, die via Remote Desktop Protocol (RDP) erreichbar sind. Laut Kaspersky kamen die Angreifer wahrscheinlich durch Brute-Force-Angriffe zu den Passwörtern. Dies deutet darauf hin, dass einfache Passwörter verwendet wurden. Zudem dürften auf diesen Systemen die Anzahl der möglichen Fehlversuche bei der Passworteingabe nicht beschränkt worden sein.
Der Marktplatz Xdedic.biz war laut Kaspersky bisher frei zugänglich, man musste sich lediglich mit einer E-Mail-Adresse als User registrieren. Die Security-Spezialisten rieten aber eindringlich davon ab, dies zu tun. Der Kaspersky-Bericht wurde gestern veröffentlicht. Mittlerweile scheint die Site vom Netz genommen worden zu nein.
Wer benutzt Deinen Server auch noch?
Die gehackten Server stammen laut dem ausführlichen Bericht des Kaspersky-Teams aus 173 Ländern. In der Liste der meistvertretenen Länder taucht die Schweiz nicht auf, aber es ist mit grosser Wahrscheinlichkeit anzunehmen, dass auch Schweizer Server angeboten wurden. Das Team konnte einige der Betreiber identifizieren und warnen, viele weitere dürften aber noch komplett ahnungslos sein, dass ihre Server kompromittiert sind.
Die Site wurde laut Kaspersky hoch professionell geführt. Als Anbieter wurden über 400 verschiedene Verkäufer genannt. User konnten die Serverzugänge nach Land, Betriebssystem, Admin-Zugang und vielen weiteren Kriterien filtern. Die Markplatzbetreiber selbst prüften die Server und listeten ihre Eigenschaften auf. Dazu gehören beispielsweise Konfiguration, Speicher, ob die Server Zugang zu interessanten Online-Services bieten, beispielsweise Online-Banking, Wett-Sites oder Online-Shops, oder ob bereits Malware darauf installiert ist.
Serverzugänge ab sechs Dollar
Die Käufer verlangten für die Zugänge sechs bis zu einigen Tausend Dollar. Bei den teureren Servern dürfte deren "Inhalt" an sich für Cyberkriminelle interessant sein, zum Beispiel Buchhaltungssoftware, Kassensoftware, die Zugang zu Kreditkartendaten bieten könnte, oder Steuersoftware. Die billigeren Server werden dagegen eher für andere Zwecke verwendet. Zum Beispiel können sie zum Verschicken von Spam oder als Bitcoin-Miner missbraucht werden.
Gehackte aber an sich unwichtige Server werden von Cyberkriminellen auch oft dazu verwendet, um die im Rahmen eines erfolgreichen Angriffs auf ein wichtiges System eingeschleuste Malware zu steuern. Diese Server, die legitimen Betreibern gehören, dienen als Zwischenstation bei der Kommunikation zwischen der Malware und Angreifern, um Befehle weiterzugeben oder abgesogene Daten zwischenzulagern. Diese Methode wurde beispielsweise von den Hackern verwendet, welche die Ruag angegriffen haben.
Der Bericht des Kaspersky-Teams zeigt, wie einfach und billig Hacker an solche Server kommen können. Zudem, so Kaspersky, ist die Geschichte ein weiteres Beispiel für die zunehmende Spezialisierung und Aufgabenteilung innerhalb der Szene der Cyberspione und -Kriminellen. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

Bei Infopro laufen erste Systeme nach Cyber­angriff wieder

Der Berner IT-Dienstleister kann erste Systeme wieder hochfahren und hofft, im Verlauf dieser Woche zum Normal­betrieb zurückkehren zu können.

publiziert am 28.11.2022
image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022