Cyberkriminelle handeln massenhaft gestohlene cPanel-Zugangsdaten auf Underground-Märkten. Die Sicherheitsforscher von Flare dokumentieren ein industrialisiertes Ökosystem mit über 200.000 Angeboten, bei dem kompromittierte Hosting-Credentials als strategische Infrastruktur für Phishing und Spam genutzt werden.
Auf unterirdischen Chatgruppen und Marktplätzen ist ein florierendes Geschäft entstanden: Der Verkauf von Zugangsdaten zu gehackten Website-Verwaltungspanels. cPanel, eines der weltweit verbreitetsten Verwaltungssysteme für Linux-basierte Webhosting-Infrastrukturen, ist dabei zur Wunschware der Cyberkriminalität geworden.
Die Sicherheitsforscher von Flare haben über einen Zeitraum von sieben Tagen die Aktivitäten in beobachteten Fraud-Gruppen analysiert und ein hochstrukturiertes Ökosystem in großem Maßstab dokumentiert. Sie werteten mehr als 200.000 Beiträge aus, die cPanel-Zugänge anbieten, und offenbarten damit ein faszinierendes wie besorgniserregendes System der Cyberkriminalität.
cPanel fungiert als zentrale Orchestrierungs- und Automationsschnittstelle für die Verwaltung von Hosting-Accounts, Domains, E-Mail-Services, Datenbanken, DNS-Zonen, SSL-Zertifikaten und Dateisystemen. Nach Daten von Shodan sind weltweit über 1,5 Millionen Internet-verbundene Server mit cPanel-Software ausgestattet, wobei sich über eine Million davon in den USA befindet.
Für Angreifer bietet der Zugriff auf ein kompromittiertes cPanel enorme Möglichkeiten: Sie können Backdoors für persistente Zugriffe installieren, neue Admin-Konten anlegen, Malware deployen, Root-Zugriff erlangen, Phishing-Kits als Subdomains unter legitimen Domain-Namen bereitstellen oder neue SMTP-Konten für die Verbreitung von Phishing- und Spam-Kampagnen einrichten. In Shared-Hosting-Umgebungen ermöglicht ein einzelnes cPanel potenziell Zugriff auf dutzende Domains, während es in Unternehmensumgebungen die gesamte Web-Präsenz gefährden kann.
Die typischen Angriffsvektoren sind bekannt: Gestohlene oder durch Brute-Force-Attacken errungene Zugangsdaten stehen an erster Stelle. Angreifer nutzen Phishing-Kampagnen, Passwort-Wiederverwendung aus früheren Datenlecks, Credential-Stuffing und automatisierte Brute-Force-Angriffe gegen exponierte cPanel-Login-Portale. Konfigurationsfehler wie offengelegte sensible Dateien, schwache Passwörter oder fehlende Multi-Faktor-Authentifizierung machen dies zu einem attraktiven Einfallstor. Ein weiterer häufiger Weg führt über die Ausnutzung anfälliger Websites auf demselben Server – veraltete CMS-Plattformen wie WordPress, Joomla oder Drupal mit unsicheren Plugins und Themes ermöglichen das Hochladen von Web-Shells oder Privilege Escalation.
Die Analyse der Flare-Forscher offenbarte ein bemerkenswert organisiertes Marktgeschehen: 90 Prozent der 200.000 gesammelten Beiträge waren Duplikate, was auf einen stark kommerzialisierten Markt hindeutet, in dem hunderte einzigartige Angebote vieltausendfach über verschiedene Kanäle verbreitet werden. Die Preisgestaltung folgt klassischen Marktgesetzen und differenziert nach Qualität, geografischer Herkunft und Infrastruktur-Reputation. Premium-cPanels mit hochrangigen Domains (wie .gov oder .mil) erzielen höhere Preise als beispielsweise .xyz-Domains, da sie bei Phishing-Kampagnen höhere Erfolgsquoten versprechen. Ein aktiver SMTP-Server erhöht den Preis erheblich, da er den Versand von Phishing- oder Spam-E-Mails von legitimen Adressen ohne sofortige Sperrung ermöglicht. US- oder EU-basierte cPanels sind ebenfalls teurer.
Zur Prävention empfehlen die Forscher, Multi-Faktor-Authentifizierung auf allen Hosting-Control-Panel-Accounts zu aktivieren, starke und einzigartige Passwörter zu erzwingen und administrativen Zugriff durch IP-Restrictions zu begrenzen. Ausgehende SMTP-Aktivität sollte kontinuierlich überwacht werden, während File-Integrity-Monitoring unbefugte Änderungen erkennt. CMS-Plattformen und deren Plugins müssen vollständig aktualisiert werden, und das Prinzip der minimalen Berechtigung sollte konsequent angewendet werden.
Die Konsequenzen einer kompromittierten cPanel-Account sind gravierend: Domain- und IP-Blacklistings führen zu Reputationsschaden, Website-Inhalte können gestohlen, verändert oder verschlüsselt werden. Was als einfache Konto-Kompromittierung beginnt, kann sich zu einem Kontinuitätsnotfall entwickeln.
Während gehackte Hosting-Zugangsdaten zunehmend als Handelsware klassifiziert, bewertet und im großen Stil über Underground-Märkte verteilt werden, verschiebt sich die Cyberkriminalität vom Exploit-Development zur Access-Vermittlung. Hosting-Credentials sind geworden, was sie sein sollten: der erste Verteidigungswall gegen ihre Umwidmung als Infrastruktur für Phishing-, Spam- und Betrugsvorgänge. In diesem zugriffsgesteuerten Ökosystem sind Hosting-Credentials ein hochwertiges Zuganstor in Corporate-Umgebungen. Sollten sich die aktuellen Trends fortsetzen, wird die automatisierte Erfassung und Massen-Umverteilung dieser Daten das Modell weiter industrialisieren und die Einstiegsbarriere für Phishing-Operatoren senken.
Quelle: BleepingComputer