Tienduizenden servers misbruikt bij wereldwijde aanval op cryptowallets

Cybercriminelen hebben wereldwijd tienduizenden slecht beveiligde servers overgenomen om een groot botnet op te bouwen dat gericht is op het stelen van cryptovaluta. Dat blijkt uit nieuw onderzoek van het cybersecuritybedrijf Check Point. De aanvallen maken gebruik van zwakke wachtwoorden en slecht afgeschermde servers die direct met het internet verbonden zijn.

Volgens de onderzoekers zijn meer dan 50.000 servers momenteel kwetsbaar. Deze systemen worden misbruikt om toegang te krijgen tot cryptogerelateerde infrastructuur en uiteindelijk digitale wallets leeg te halen.

Aanvallen via GoBruteforcer-malware

De aanvallen worden uitgevoerd met malware genaamd GoBruteforcer. Deze software probeert automatisch in te loggen op servers door veelvoorkomende gebruikersnamen en wachtwoorden te testen. Zodra een inlogpoging slaagt, krijgen aanvallers volledige toegang tot het systeem.

De malware richt zich vooral op Linux-servers waarop veelgebruikte diensten draaien, zoals FTP, MySQL, PostgreSQL en phpMyAdmin. Deze systemen worden vaak gebruikt voor websites en databases, maar blijken in de praktijk regelmatig onvoldoende beveiligd.

Een geïnfecteerde server wordt onderdeel van het botnet en kan vervolgens worden ingezet om andere kwetsbare servers aan te vallen. Ook kunnen aanvallers gegevens stelen, extra accounts aanmaken of toegang tot de server doorverkopen.

Miljoenen servers publiek bereikbaar

Een belangrijke oorzaak van de grootschalige aanvallen is het grote aantal servers dat openstaat voor internetverkeer. Wereldwijd zijn naar schatting miljoenen FTP- en databaseservers rechtstreeks bereikbaar via standaardpoorten, vaak zonder sterke beveiliging.

GoBruteforcer werd voor het eerst waargenomen in 2023, maar medio 2025 ontdekten onderzoekers een nieuwe, geavanceerdere variant. Deze versie is moeilijker te detecteren en blijft langer actief op besmette systemen.

Zwakke wachtwoorden en AI-handleidingen

Veel aanvallen slagen door eenvoudige beveiligingsfouten. Hackers maken gebruik van standaardgebruikersnamen zoals appuser en myuser, gecombineerd met zwakke wachtwoorden als admin123456. Deze combinaties komen vaak rechtstreeks uit online handleidingen en installatiegidsen.

Volgens Check Point dragen ook door AI gegenereerde configuratiehandleidingen bij aan het probleem. Deze herhalen dezelfde voorbeeldinstellingen, waardoor identieke zwakke inloggegevens op grote schaal worden gebruikt.

Daarnaast richten aanvallers zich bewust op accounts met cryptogerelateerde namen, zoals cryptouser en crypto_app, in de hoop servers te vinden die gekoppeld zijn aan digitale valuta.

Focus op cryptowallets met saldo

Onderzoekers ontdekten dat sommige geïnfecteerde servers werden ingezet om blockchain-adressen te scannen op saldo. Daarbij werden onder meer duizenden TRON-wallets gecontroleerd. Op aangetroffen systemen stonden tools om cryptotokens automatisch weg te sluizen zodra een wallet geld bevatte.

Analyse van blockchaintransacties wijst erop dat een deel van deze aanvallen succesvol is geweest. Dat bevestigt dat cryptoprojecten en blockchaininfrastructuur een doelbewust doelwit zijn van de aanvalscampagnes.

Oudere software vormt blijvend risico

Volgens Check Point is de aanvalsgolf het gevolg van een structureel probleem. Veel organisaties blijven werken met verouderde software en servers die onvoldoende zijn afgeschermd. Vooral oudere webomgevingen, waarbij beheerderspanelen en FTP-toegang openstaan, blijken aantrekkelijk voor aanvallers.

De onderzoekers waarschuwen dat zelfs relatief eenvoudige malware grote schade kan aanrichten zolang slecht beveiligde systemen online blijven. Eind 2025 werd bovendien vastgesteld dat sommige geïnfecteerde servers ook werden gebruikt door een andere malwarefamilie, wat het risico verder vergroot.

De bevindingen onderstrepen het belang van sterke wachtwoorden, het afsluiten van onnodige internettoegang en het up-to-date houden van serversoftware.