Cyberkriminelle verkaufen Zugang zu mehr als 43.000 gehackten Servern

Sie gehören zum Angebot des Marktplatzes MagBo. Er entwickelt sich und rund zwei Jahren zu einem der wichtigsten Shops im Internet für gehackte Server. Ein großer Teil der Angeboten Zugänge ist für CMS-Systeme wie WordPress.

Cyberkriminelle verkaufen über einen Online-Marktplatz namens MagBo Zugangsdaten für mehr als 43.000 gehackte Server. Das geht aus einer Analyse der Threat-Intelligence-Firma Kela hervor. Demnach gilt MagBo als einer der größten Marktplätze für kompromittierte Server.

Motivfoto Hacker (Bild: Shutterstock)Im Gegensatz zu vielen ähnlichen Angeboten wird die MagBo-Website im öffentlichen Internet gehostet. Der Zugang ist allerdings auf registrierte Mitglieder beschränkt. Eine Registrierung ist nur auf Einladung möglich – die wiederum können nur bereits registrierte Mitglieder aussprechen.

Seine ersten Kunden fand der 2018 gestartete Marktplatz über Anzeigen in diversen Hacker-Foren. Darin bewarben sich die Betreiber von MagBo als Portal für geknackte Webserver mit Shell-Zugriff auf das Dateisystem. Anfänglich beschränkt sich das Angebot auf mehr als 1500 Web-Shells. Bereits im September 2018 soll sich deren Zahl auf 3000 erhöht haben.

Generell funktioniert MagBo der Analyse zufolge wie bekannte Marktplätze von Amazon oder eBay. Registrierte Händler können dort ihre Produkte einstellen und zu eigenen Bedingungen verkaufen. Im Lauf der Zeit wurde das Angebot ausgeweitet. Inzwischen bieten Händler auch SSH- und SQL-Zugänge wie Zugänge zu Content-Management-Systemen und Anmeldedaten für FTP-Server an. Web-Shell-Zugänge haben mit 90 Prozent aller gehackten Hosts den größten Anteil.

Gehackte Server auf MagBo (Bild: Kela)Kela schätzt, dass der Marktplatz seit seiner Gründung vor rund zwei Jahren Zugänge zu mehr als 150.000 Servern verkauft hat. Das Angebot von aktuell rund 43.000 Servern soll sich zudem auf rund 190 verschiedene Händler verteilen. Aus Informationen über abgeschlossene Transaktionen errechneten die Forscher zudem einen möglichen Umsatz: 750.000 Dollar sollen die Händler bisher mit MagBo erwirtschaftet haben.

Zu einem der größten Marktplätze für gehackte Server wurde MagBo offenbar, weil die Betreiber beziehungsweise Händler in ihren Angeboten die Namen der Websites sowie deren URL nennen. Kunden wissen also schon bevor sie Kontakt zu einem Händler aufnehmen, welche Website hinter einem gehackten Server steckt. Kela zufolge schwärzen andere Marktplätze solche Details, um zu verhindern, dass konkurrierende Hacker einen geknackten Server kapern.

Kunden sehen in den Einträgen auf MagBo zudem, welche Berechtigungen mit einer Web-Shell verbunden sind. Käufer können also beispielsweise gezielt nach Angeboten mit Zugriff auf eine E-Mail-Funktion finden, um Spam-Kampagnen zu starten.

Zum Erfolg von MagBo soll aber auch beitragen, dass jeden Tag zwischen 200 und 400 neue Server zum Verkauf angeboten werden. Rund 200 sollen jeden Tag einen Käufer finden.

Kela bot ZDNet USA zudem die Möglichkeit, Angebote auf MagBo zu analysieren. Demnach verkaufen viele Händler dort Zugänge zu WordPress-Websites. Die meisten dieser Seiten nutzen veraltete WordPress-Installationen oder nicht aktuelle Plug-ins. Unter anderem waren die Zugänge für Websites von Behörden, Bildungseinrichtungen, Versicherungen und Finanzinstituten.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Cybercrime, Hacker, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Cyberkriminelle verkaufen Zugang zu mehr als 43.000 gehackten Servern

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *