Thought Leadership
Eine aktuelle Analyse von Check Point Research zeigt, wie anfällig öffentlich erreichbare Server nach wie vor sind. Im Mittelpunkt steht eine neue Malware Kampagne mit dem Namen GoBruteforcer.
Dabei handelt es sich um ein Botnetz, das gezielt Linux Systeme mit frei zugänglichen Web und Datenbankdiensten angreift. Ausgenutzt werden vor allem einfache oder unveränderte Zugangsdaten, die in vielen Umgebungen noch immer im Einsatz sind.
Angriffsmethode mit industriellem Ansatz
GoBruteforcer basiert auf der Programmiersprache Go und ist modular aufgebaut. Einmal kompromittierte Server werden nicht nur übernommen, sondern aktiv in das Botnetz eingebunden. Sie scannen weitere Systeme, führen Passwortangriffe aus und empfangen Befehle der Angreifer. Die Malware konzentriert sich auf weit verbreitete Dienste wie FTP, MySQL, PostgreSQL und phpMyAdmin, die häufig direkt aus dem Internet erreichbar sind.
Die Verbreitung erfolgt schrittweise. In der Regel wird zunächst eine Webshell platziert, anschließend ein Downloader installiert, der weitere Module nachlädt. Dazu gehören Kommunikationsfunktionen sowie Werkzeuge für systematische Brute Force Angriffe. Nach Einschätzung der Forscher könnten weltweit zehntausende Server für diese Angriffsmethode anfällig sein.
Warum die Kampagne besonders riskant ist
Der modulare Aufbau erlaubt es den Angreifern, Funktionen flexibel zu erweitern und anzupassen. Seit Mitte 2025 wurden Versionen beobachtet, die zusätzliche Mechanismen zur Tarnung und dauerhaften Verankerung enthalten. Besonders auffällig ist der Fokus auf Ziele aus dem Krypto und Blockchain Umfeld. Auf kompromittierten Systemen fanden sich Werkzeuge, mit denen Wallets gesucht und Guthaben abgegriffen werden können.
Blockchain Auswertungen legen nahe, dass ein Teil dieser Angriffe erfolgreich war. Da die betroffenen Server oft produktiv eingesetzt werden, reicht der Schaden von Datenabfluss über unbefugte Zugriffe bis hin zu Folgeschäden in angebundenen Systemen.
Auch wenn sich die Kampagne nicht gezielt gegen KI Anwendungen richtet, begünstigt der aktuelle Technologieboom die Angriffe indirekt. Viele Setups basieren auf Beispielkonfigurationen aus Dokumentationen oder automatisierten Tools. Diese enthalten häufig identische Standardzugänge, die nicht konsequent angepasst werden. Hinzu kommen ältere Komplettpakete wie XAMPP, bei denen Verwaltungsoberflächen und FTP Zugänge oft unzureichend abgesichert nach außen offenstehen.
Technische Funktionsweise in der Praxis
Das Botnetz arbeitet in mehreren klar definierten Schritten. Zunächst werden IP Bereiche systematisch nach offenen Diensten durchsucht. Anschließend folgen Passwortangriffe mit vorbereiteten Zugangsdatenlisten. Diese Listen werden regelmäßig ausgetauscht und bestehen aus gängigen Kombinationen. Bei FTP Diensten kommen besonders kleine, fest integrierte Datensätze zum Einsatz, die auf typische Hosting Umgebungen abzielen.
Die Steuerung erfolgt über eine zentrale Infrastruktur, die Aufgaben verteilt und kompromittierte Systeme koordiniert. Erfolgreich angegriffene Server werden weiterverwendet und tragen so zur schnellen Ausbreitung des Botnetzes bei.
Konsequenzen für Unternehmen
Der Fall GoBruteforcer verdeutlicht, dass viele Angriffe weiterhin auf bekannte und vermeidbare Schwachstellen setzen. Vor allem öffentlich erreichbare Verwaltungs und Datenbankdienste stellen ein hohes Risiko dar, wenn sie nicht konsequent abgesichert sind.
Zu den wichtigsten Schutzmaßnahmen zählen das vollständige Ersetzen von Standardzugangsdaten, eine strikte Beschränkung erreichbarer Dienste sowie ein kontinuierliches Monitoring ungewöhnlicher Login und Scan Muster. Ebenso wichtig ist ein kritischer Umgang mit Konfigurationsvorlagen aus externen Quellen. Diese sollten vor dem Einsatz geprüft und an interne Sicherheitsstandards angepasst werden.
GoBruteforcer steht exemplarisch für eine Angriffsklasse, die nicht auf neue Exploits angewiesen ist, sondern bekannte Schwächen im großen Stil ausnutzt. Solange einfache Passwörter, offene Schnittstellen und ungeprüfte Standardkonfigurationen im Einsatz sind, bleiben solche Botnetze hochwirksam. Unternehmen können das Risiko deutlich senken, wenn sie grundlegende Sicherheitsdisziplin konsequent umsetzen.
