Im Inneren des virtuellen Hosting-Geschäfts ist etwas scheinbar harmlose - virtuelle Maschinenvorlagen gebrauchsfertig - ein mächtiger Hebel für Cyberkriminelle geworden. Forscher der Sophos-Sicherheitsfirma haben erkannt, dass Ransomware und Malware-Operatoren die Vorteile von Standard-Vorlagen von einem legitimen Virtualisierungsmanager nutzen, um auf einer großen Skala zu manipulieren Windows-Server, die schädliche Belastungen hosten und verteilen.
Der Schlüssel zum Missbrauch ist die mathematische Wiederverwendung von Kennungen und Gerätenamen. Die von VMmanager bereitgestellten Standardvorlagen, die ISPsystem-Virtualisierungslösung, erzeugen Instanzen mit identischen Systemnamen und -parametern jedes Mal, wenn sie eingesetzt werden. Dies ermöglicht es schädlichen Akteuren, Hunderte oder Tausende von VMs mit fast identischen Signalen zu erhöhen und sie Funktionen wie Befehls- und Steuerserver (C2) oder Repositories für die Lieferung von Ransomware und Trojanern zu widmen.
Sophoss Arbeit, die Sie in seinem ursprünglichen Bericht konsultieren können, zeigt auch, dass diese gleichen Hostnamen wiederholt in der Infrastruktur erscheinen, die mit hochkarätigen Gruppen verbunden ist: von LockBit und BlackCat / ALPHV bis Conti, Qilin und Familien von Trojanern wie Ursnif. Sie haben auch ihre Verwendung in Kampagnen identifiziert, die Info-Stealer wie RedLine und Lummar verbreiten. Die Wiederholung der gleichen Identifikatoren in kriminellen Kontexten ist die Führung, die Forscher dazu führte, das Muster des Missbrauchs zu entdecken. Weitere Informationen zur technischen Veröffentlichung von Sophos: Sophos: Vielfältige Nutzung der virtuellen Maschineninfrastruktur.
Laut Sophos konzentrieren sich vier spezifische Host-Namen, die von diesen Vorlagen generiert werden, auf die Praxis der meisten Internet zugänglichen VMs, die von ISPsystem verwaltet werden, was das Tracking der Technik erleichtert. Diese Namen umfassen WIN-LIVFRVQFMKO, WIN-344VU98D3RU und WIN-J9D866ESIJ2, die alle in Telemetrie im Zusammenhang mit kriminellen Aktivitäten nachgewiesen werden. Das Ergebnis zeigt nicht nur auf eine schlechte Konfiguration oder ein Design: Es zeigt, wie die Kombination von einfach zu bedienenden Software- und Hosting-Anbietern mit wenig oder ohne Sorgfalt ein attraktives Umfeld für Kriminalität schafft.
Nicht alle Lieferanten sind gleich. Sophos erkannte, dass die meisten böswilligen VMs in einer kleinen Gruppe von Lieferanten mit fragwürdigem Ruf oder unter Vorbehalt von Sanktionen, darunter Namen wie Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD und JSC IOT untergebracht sind. Es gibt auch einen Schauspieler namens MasterRDP, der nach Angaben der Forscher die Kontrolle über die physische Infrastruktur und bietet VPS / RDP-Dienste ohne rechtliche Anfragen, mit VMmanager als Flucht-Tool.
Warum funktioniert dieses System für die Angreifer? Weil die Bereitstellung einer schädlichen Infrastruktur mit geklonten VMs ist billig, schnelle und niedrige Einstiegsbarriere. Darüber hinaus werden durch "versteckende" gefährliche Fälle unter Tausenden von legitimen VMs, die Muster teilen, Forschungs- und Minderungsmaßnahmen langsamer und weniger wirksam. Die Mischung aus Skalierbarkeit, partieller Anonymität und fehlender zentralisierter Kontrolle macht diese Umgebung zu einer wertvollen Ressource für diejenigen, die Erpressung und Diebstahl von Anmeldeinformationen verfolgen.
Aus der Perspektive der Verteidigung gibt es mehrere klare Lektionen. Zuerst sollten Virtualisierungsmanagement-Lösungen Entwickler Templates vermeiden, die statische Systemnamen und -werte generieren: Jeder VM benötigt standardmäßig eine eindeutige Kennung. Zweitens haben Infrastrukturanbieter die Verantwortung für die Umsetzung von Überwachungsmaßnahmen und für die Reaktion auf rechtliche oder internationale Kooperationsanträge, um illegale Aktivitäten in ihren Netzwerken zu reduzieren. Endnutzer und Sicherheitsausrüstungen sollten Anomalien-Erkennung, aktive Erfinder und Telemetrie-Regeln implementieren, die auf verdächtige Host-Namen hinweisen und relevante Indikatoren mit der Community teilen, um Blockaden und koordinierte Aktionen zu erleichtern.
Behörden und Reaktionsteams empfehlen auch allgemeine Härtemaßnahmen gegen Ransomware und Malware, die hier nützlich sind: erstellen Off-line-Backup, regelmäßig Patches anwenden, unmanaged RDP-Zugang einschränken und anormales Verhalten im Netzwerk überwachen. Für die institutionelle Dokumentation über die Vorbereitung auf die Ransomware, bietet die US Cybersicherheit Abteilung praktische Anleitungen: CISA - Ransomware Anleitung.
ISPsystem ist ein legitimes Unternehmen, das Steuerungspanelen und Tools für Hosting-Anbieter entwickelt; sein VMmanager-Produkt soll die Erstellung und Verwaltung von VMs Windows und Linux erleichtern. Die einfache Verwendung des Produkts ist genau das, was macht es attraktiv für legitime Kunden und schädliche Schauspieler, wenn es in die Hände von skrupellosen Lieferanten fällt. Weitere Informationen über das Unternehmen und sein Produkt auf seiner Unternehmensseite: ISPsystem - VMmanager.
Spezielle Medien wie BleepingComputer haben über diese Ergebnisse berichtet und versucht, das ISPsystem zu kontaktieren, um ihre Position und Korrekturpläne zu kennen, ohne eine öffentliche Antwort zum Zeitpunkt der Veröffentlichung zu erhalten. Sie können die Gesamtabdeckung von Technologie- und Sicherheitsstandorten sehen, die Forschung und ihre Auswirkungen sammeln: BlepingComputer.
Geschichte zeigt ein wiederkehrendes Muster in der Cybersicherheit: Werkzeuge zur Vereinfachung legitimer Operationen können Mittel zum Missbrauch werden, wenn sie keine grundlegenden Schutze enthalten und wenn ihr Lieferanten-Ökosystem keine Kontrollen aufweist. Die Lösung erfordert technische Verantwortung seitens des Herstellers, Sorgfalt seitens der Hosting- und Überwachungsanbieter seitens der Sicherheitsausrüstung. In der Zwischenzeit muss die Gemeinde Alarm halten und verfügbare Informationen - wie Hostnamen von Sophos erkannt - verwenden, um schädliche Infrastrukturen schnell zu identifizieren und zu deaktivieren, die diese Templates nutzen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...