Nas entranhas do negócio da hospedagem virtual, algo aparentemente inocuo –modelos de máquinas virtuais prontas para usar – tornou-se uma alavanca poderosa para os criminosos informáticos. Pesquisadores da assinatura de segurança Sophos descobriram que operadores de ransomware e malware estão aproveitando modelos por defeito de um gestor de virtualização legítimo para implantar, em grande escala, servidores Windows manipulados que hospedam e distribuem cargas maliciosas.
A chave do abuso é a reutilização matemática de identificadores e nomes de equipe. Os modelos por defeito que fornecem VMmanager, a solução de virtualização do ISPsystem, geram instâncias com nomes e parâmetros de sistema idênticos sempre que se desdobram. Isso permite a atores mal-intencionados levantar centenas ou milhares de VMs com sinais quase idênticos e dedicar-lhes a funções como servidores de comando e controle (C2) ou repositórios para a entrega de ransomware e troianos.
O trabalho de Sophos, que você pode consultar no seu relatório original, mostra também que esses mesmos nomes de host aparecem repetidamente em infraestruturas ligadas a grupos de alto perfil: desde LockBit e BlackCat/ALPHV até Conti, Qilin e famílias de troianos como Ursnif. Eles também identificaram seu uso em campanhas que distribuem info-stealers como RedLine e Lummar. A repetição dos mesmos identificadores em contextos criminais é a pista que levou os pesquisadores a descobrir o padrão de abuso. Mais informações no comunicado técnico do Sophos: Sophos: Malicious use of virtual machine infrastructure.
Segundo Sophos, quatro nomes concretos de host gerados por esses modelos concentram a prática maioria das VMs acessíveis da Internet geridas por ISPsystem, o que facilita o rastreamento da técnica. Entre esses nomes estão WIN-LIVFRVQFMKO, WIN-344VU98D3RU e WIN-J9D866ESIJ2, todos eles detectados em telemetria relacionada a atividades criminosas. O achado não só aponta para uma má configuração ou design: evidencia como a combinação de software fácil de usar e fornecedores de hospedagem com pouca ou nenhuma diligência cria um ambiente atrativo para o crime.
Nem todos os fornecedores são iguais. Sophos detectou que a maior parte das VMs maliciosas se alojam em um pequeno grupo de fornecedores com reputação questionável ou sujeitos a sanções, entre os quais mencionam nomes como Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD e JSC IOT. Também aparece um ator chamado MasterRDP, que segundo os pesquisadores tem controle sobre infraestrutura física e oferece serviços VPS/RDP sem cumprir solicitações legais, usando VMmanager como ferramenta de evasão.
Por que funciona este esquema para os atacantes? Porque colocar uma infraestrutura maliciosa com VMs clonadas é barato, rápido e de baixa barreira de entrada. Além disso, ao “esconder” instâncias perigosas entre milhares de VMs legítimas que compartilham padrões, pesquisas e medidas de mitigação tornam-se mais lentas e menos eficazes. A mistura de escalabilidade, anonimato parcial e falta de um controle centralizado torna esses ambientes um recurso valioso para quem persegue extorsões e roubo de credenciais.
Do ponto de vista da defesa, há várias lições claras. Em primeiro lugar, os desenvolvedores de soluções de gerenciamento de virtualização devem evitar modelos que geram nomes e valores de sistema estáticos: cada VM precisa de um identificador único por defeito. Em segundo lugar, os fornecedores de infra-estruturas têm a responsabilidade de aplicar medidas de vigilância e de responder a pedidos legais ou de colaboração internacional para cortar actividades ilícitas nas suas redes. Os usuários finais e equipamentos de segurança devem instrumentar detecção de anomalias, inventários ativos e regras de telemetria que sinalizam nomes de host suspeitos, e compartilhar indicadores relevantes com a comunidade para facilitar bloqueios e ações coordenadas.
As autoridades e equipamentos de resposta também recomendam medidas gerais de endurecimento contra ransomware e malware que são úteis aqui: criar cópias de segurança fora de linha, aplicar adesivos regularmente, restringir acessos RDP não gerenciados, e monitorar comportamentos anormais na rede. Para documentação institucional sobre como preparar-se para o ransomware, o departamento de cibersegurança norte-americano oferece guias práticas: CISA — Ransomware Guidance.
O ISPsystem é uma empresa legítima que desenvolve painéis de controle e ferramentas para fornecedores de hospedagem; o seu produto VMmanager está concebido para facilitar a criação e administração de VMs Windows e Linux. A facilidade de uso do produto é precisamente o que o torna atraente tanto para clientes legítimos como para atores maliciosos quando cai nas mãos de fornecedores pouco escrupulosos. Mais informações sobre a empresa e seu produto em seu web corporativa: ISPsystem — VMmanager.
Meios especializados como a BleepingComputer têm informado sobre esses achados e tentaram contactar o ISPsystem para conhecer sua postura e planos de correção, sem receber uma resposta pública no momento da publicação. Você pode ver a cobertura geral em sites de tecnologia e segurança que coletam a pesquisa e suas implicações: BleepingComputer.
A história destaca um padrão recorrente em cibersegurança: as ferramentas desenhadas para simplificar operações legítimas podem se tornar vetores de abuso se não incorporarem proteções básicas e se o seu ecossistema de fornecedores não tiver controles. A solução exige responsabilidade técnica pelo fabricante, diligência por parte dos fornecedores de hospedagem e vigilância por parte dos equipamentos de segurança. Enquanto isso, a comunidade deve manter-se alerta e usar a informação disponível – como os nomes de host detectados por Sophos – para identificar e desactivar rapidamente infra-estruturas maliciosas que aproveitem estes modelos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...