Cyberkriminelle verkaufen Zugang zu mehr als 43.000 gehackten Servern

Cyberkriminelle verkaufen über einen Online-Marktplatz namens MagBo Zugangsdaten für mehr als 43.000 gehackte Server. Das geht aus einer Analyse der Threat-Intelligence-Firma Kela hervor. Demnach gilt MagBo als einer der größten Marktplätze für kompromittierte Server.

Im Gegensatz zu vielen ähnlichen Angeboten wird die MagBo-Website im öffentlichen Internet gehostet. Der Zugang ist allerdings auf registrierte Mitglieder beschränkt. Eine Registrierung ist nur auf Einladung möglich – die wiederum können nur bereits registrierte Mitglieder aussprechen.

Seine ersten Kunden fand der 2018 gestartete Marktplatz über Anzeigen in diversen Hacker-Foren. Darin bewarben sich die Betreiber von MagBo als Portal für geknackte Webserver mit Shell-Zugriff auf das Dateisystem. Anfänglich beschränkt sich das Angebot auf mehr als 1500 Web-Shells. Bereits im September 2018 soll sich deren Zahl auf 3000 erhöht haben.

Generell funktioniert MagBo der Analyse zufolge wie bekannte Marktplätze von Amazon oder eBay. Registrierte Händler können dort ihre Produkte einstellen und zu eigenen Bedingungen verkaufen. Im Lauf der Zeit wurde das Angebot ausgeweitet. Inzwischen bieten Händler auch SSH- und SQL-Zugänge wie Zugänge zu Content-Management-Systemen und Anmeldedaten für FTP-Server an. Web-Shell-Zugänge haben mit 90 Prozent aller gehackten Hosts den größten Anteil.

Kela schätzt, dass der Marktplatz seit seiner Gründung vor rund zwei Jahren Zugänge zu mehr als 150.000 Servern verkauft hat. Das Angebot von aktuell rund 43.000 Servern soll sich zudem auf rund 190 verschiedene Händler verteilen. Aus Informationen über abgeschlossene Transaktionen errechneten die Forscher zudem einen möglichen Umsatz: 750.000 Dollar sollen die Händler bisher mit MagBo erwirtschaftet haben.

Zu einem der größten Marktplätze für gehackte Server wurde MagBo offenbar, weil die Betreiber beziehungsweise Händler in ihren Angeboten die Namen der Websites sowie deren URL nennen. Kunden wissen also schon bevor sie Kontakt zu einem Händler aufnehmen, welche Website hinter einem gehackten Server steckt. Kela zufolge schwärzen andere Marktplätze solche Details, um zu verhindern, dass konkurrierende Hacker einen geknackten Server kapern.

Kunden sehen in den Einträgen auf MagBo zudem, welche Berechtigungen mit einer Web-Shell verbunden sind. Käufer können also beispielsweise gezielt nach Angeboten mit Zugriff auf eine E-Mail-Funktion finden, um Spam-Kampagnen zu starten.

Zum Erfolg von MagBo soll aber auch beitragen, dass jeden Tag zwischen 200 und 400 neue Server zum Verkauf angeboten werden. Rund 200 sollen jeden Tag einen Käufer finden.

Kela bot ZDNet USA zudem die Möglichkeit, Angebote auf MagBo zu analysieren. Demnach verkaufen viele Händler dort Zugänge zu WordPress-Websites. Die meisten dieser Seiten nutzen veraltete WordPress-Installationen oder nicht aktuelle Plug-ins. Unter anderem waren die Zugänge für Websites von Behörden, Bildungseinrichtungen, Versicherungen und Finanzinstituten.