Operadores de ransomware estão usando máquinas virtuais (VMs) provisionadas pela ISPsystem, empresa legítima de gestão de infraestrutura virtual, para hospedar e distribuir cargas maliciosas em larga escala.
Pesquisadores identificaram essa tática ao investigar ataques recentes do ransomware WantToCry.
Eles perceberam que os criminosos utilizavam VMs Windows com nomes de host idênticos, indicando o uso de templates padrão gerados pelo VMmanager, plataforma de virtualização da ISPsystem.
Ao aprofundar a análise, os especialistas notaram que esses mesmos nomes de host apareciam na infraestrutura de diversos grupos criminosos, incluindo operadores de ransomware como LockBit, Qilin, Conti, BlackCat/ALPHV e Ursnif, além de campanhas envolvendo malware como os info-stealers RedLine e Lumar.
A ISPsystem é uma desenvolvedora legítima de software responsável por painéis de controle usados por provedores de hospedagem para gerenciar servidores virtuais e manutenção de sistemas operacionais.
Seu produto VMmanager permite a criação rápida de VMs Windows ou Linux para clientes.
No entanto, a Sophos descobriu que os templates padrão do Windows disponíveis no VMmanager reutilizam os mesmos nomes de host e identificadores de sistema a cada implantação.
Provedores de hosting conhecidos como bulletproof — que apoiam operações criminosas e ignoram solicitações legais de remoção — exploram essa vulnerabilidade.
Eles permitem que atores maliciosos criem VMs via VMmanager para montar infraestruturas de command-and-control (C2) e distribuir payloads.
Essa estratégia camufla os sistemas maliciosos entre milhares de máquinas legítimas, dificultando a atribuição dos ataques e inviabilizando remoções rápidas.
A maioria das VMs maliciosas está hospedada em um pequeno grupo de provedores com reputação duvidosa ou sujeitos a sanções, incluindo Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD e JSC IOT.
Além disso, a Sophos identificou um provedor chamado MasterRDP, que controla diretamente infraestrutura física, utiliza VMmanager para evasão e oferece serviços de VPS e RDP que não atendem a requisições legais.
Segundo a pesquisa, quatro nomes de host padrão da ISPsystem concentram mais de 95% das máquinas virtuais expostas na internet:
- WIN-LIVFRVQFMKO
- WIN-344VU98D3RU
- WIN-J9D866ESIJ2
- WIN-9QWFIO3UFE2
Todos foram detectados em dados de telemetria e alertas ligados a atividades criminosas.
Os pesquisadores ressaltam que, apesar de o VMmanager ser uma plataforma legítima para gerenciamento de virtualização, sua popularidade entre cibercriminosos se deve ao baixo custo, facilidade de uso e implantação rápida.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...