Dans l'intérieur de l'entreprise d'hébergement virtuel quelque chose de apparemment inoffensif - des modèles de machine virtuelle prêts à utiliser - est devenu un puissant levier pour les cybercriminels. Des chercheurs de la société de sécurité Sophos ont détecté que les opérateurs de Ransomware et de malware profitent des modèles par défaut d'un gestionnaire de virtualisation légitime pour déployer, à grande échelle, des serveurs Windows manipulés qui hébergent et distribuent des charges malveillantes.
La clé de l'abus est la réutilisation mathématique des identifiants et des noms d'équipement. Les modèles par défaut fournis par VMmanager, la solution de virtualisation du système ISP, génèrent des instances avec des noms et des paramètres de système identiques chaque fois qu'ils sont déployés. Cela permet aux acteurs malveillants d'élever des centaines ou des milliers de VM avec des signaux presque identiques et de les consacrer à des fonctions telles que les serveurs de commande et de contrôle (C2) ou des dépôts pour la livraison de ransomware et de chevaux de Troie.
Le travail de Sophos, que vous pouvez consulter dans son rapport original, montre également que ces mêmes noms d'hôtes apparaissent à plusieurs reprises dans l'infrastructure liée aux groupes les plus médiatisés : de LockBit et BlackCat / ALPHV à Conti, Qilin et les familles de chevaux de Troie comme Ursnif. Ils ont également identifié leur utilisation dans des campagnes de distribution d'info-voleurs comme RedLine et Lummar. La répétition des mêmes identificateurs dans les contextes criminels est l'exemple qui a conduit les chercheurs à découvrir le modèle d'abus. Plus d'informations dans la version technique de Sophos: Sophos: Utilisation malveillante de l'infrastructure des machines virtuelles.
Selon Sophos, quatre noms d'hôtes spécifiques générés par ces modèles concentrent la pratique de la plupart des VM accessibles sur Internet gérés par ISPsystem, ce qui facilite le suivi de la technique. Ces noms comprennent WIN-LIVFRVQFMKO, WIN-344VU98D3RU et WIN-J9D866ESIJ2, tous détectés en télémétrie en rapport avec des activités criminelles. La conclusion ne se limite pas à une mauvaise configuration ou conception : elle montre comment la combinaison de logiciels faciles à utiliser et de fournisseurs d'hébergement avec peu ou pas de diligence crée un environnement attrayant pour la criminalité.
Tous les fournisseurs ne sont pas égaux. Sophos a détecté que la plupart des MV malveillantes sont hébergées dans un petit groupe de fournisseurs dont la réputation est douteuse ou qui font l'objet de sanctions, y compris des noms tels que Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD et JSC IOT. Il y a aussi un acteur appelé MasterRDP, qui, selon les chercheurs, a le contrôle de l'infrastructure physique et offre des services VPS / RDP sans répondre aux demandes légales, en utilisant VMmanager comme outil d'évasion.
Pourquoi ce plan fonctionne-t-il pour les agresseurs? Parce que déployer une infrastructure malveillante avec des VM clonés est bon marché, rapide et faible barrière d'entrée. De plus, en cachant des cas dangereux parmi des milliers de MV légitimes, les mesures de recherche et d'atténuation deviennent plus lentes et moins efficaces. La combinaison de l'évolutivité, de l'anonymat partiel et du manque de contrôle centralisé fait de ces environnements une ressource précieuse pour ceux qui cherchent à extorquer et à voler des titres de compétence.
Du point de vue de la défense, il existe plusieurs leçons claires. Premièrement, les développeurs de solutions de gestion de virtualisation devraient éviter les modèles qui génèrent des noms et des valeurs statiques du système : chaque VM a besoin d'un identifiant unique par défaut. Deuxièmement, les fournisseurs d'infrastructures ont la responsabilité de mettre en œuvre des mesures de surveillance et de répondre aux demandes de coopération juridiques ou internationales visant à réduire les activités illégales sur leurs réseaux. Les utilisateurs finals et le matériel de sécurité devraient mettre en œuvre des règles de détection des anomalies, des inventaires actifs et de télémétrie qui pointent vers des noms d'hôtes suspects et partager les indicateurs pertinents avec la communauté afin de faciliter les blocages et les actions coordonnées.
Les autorités et les équipes d'intervention recommandent également des mesures générales de durcissement contre les ransomwares et les logiciels malveillants qui sont utiles ici : créer une sauvegarde hors ligne, appliquer régulièrement des correctifs, restreindre l'accès RDP non géré et surveiller les comportements anormaux sur le réseau. Pour la documentation institutionnelle sur la préparation du Ransomware, le département de cybersécurité des États-Unis propose des guides pratiques: CISA - Lignes directrices sur les ransomwares.
ISPsystem est une société légitime qui développe des panneaux de contrôle et des outils pour les fournisseurs d'hébergement ; son produit VMmanager est conçu pour faciliter la création et la gestion de VMs Windows et Linux. La facilité d'utilisation du produit est précisément ce qui le rend attrayant tant pour les clients légitimes que pour les acteurs malveillants lorsqu'il tombe entre les mains de fournisseurs sans scrupules. Plus d'informations sur l'entreprise et son produit sur son site web : ISPsystem - VMmanager.
Des médias spécialisés comme BleepingComputer ont rendu compte de ces constatations et ont essayé de communiquer avec ISPsystem pour connaître leur position et leurs plans de correction, sans recevoir de réponse publique au moment de la publication. Vous pouvez voir la couverture globale des sites technologiques et de sécurité qui recueillent la recherche et ses implications: Calculateur.
L'histoire met en évidence un modèle récurrent de cybersécurité : les outils conçus pour simplifier les opérations légitimes peuvent devenir des moyens d'abus s'ils n'intègrent pas de protections de base et si leur écosystème fournisseur manque de contrôle. La solution exige la responsabilité technique du fabricant, la diligence des fournisseurs d'hébergement et de surveillance de l'équipement de sécurité. Pendant ce temps, la communauté doit garder alerte et utiliser les informations disponibles - comme les noms d'hôtes détectés par Sophos - pour identifier et désactiver rapidement l'infrastructure malveillante qui profite de ces modèles.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...