Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Банда за рансомвер користи ISPsystem виртуелни машини за тајно испорачување на штетни програми

Објавено: 06.02.2026

Оператори на рансомвер хостираат и испорачуваат штетни програми во голема мера со злоупотреба на виртуелни машини (VM) обезбедени од ISPsystem, легитимен провајдер за управување со виртуелна инфраструктура.

Истражувачи од сајбер безбедносната компанија Sophos ја забележале оваа тактика додека истражувале неодамнешни инциденти со рансомверот „WantToCry“. Тие откриле дека напаѓачите користеле Windows виртуелни машини со идентични имиња на хостови, што сугерира на користење на стандардни шаблони генерирани од VMmanager на ISPsystem.

Подлабоко истражување покажало дека истите имиња на хостови биле присутни и во инфраструктурата на повеќе оператори на рансомвер, вклучувајќи LockBit, Qilin, Conti, BlackCat/ALPHV и Ursnif, како и во различни кампањи на малвер вклучувајќи RedLine и Lummar инфо-крадци.

Локација на уреди што користат исто име на хост

ISPsystem е легитимна софтверска компанија која развива контролни панели за хостинг провајдери, користени за управување со виртуелни сервери, одржување на оперативен систем и слично. VMmanager е платформата за управување со виртуелизација на компанијата, користена за креирање Windows или Linux виртуелни машини (VM) за клиентите.

Sophos откри дека стандардните Windows шаблони на VMmanager секогаш го користат истото име на хост и идентификатори на системот кога се поставуваат.

Провајдери на “bulletproof hosting”, кои свесно ги поддржуваат операции на сајбер-криминал и ги игнорираат барањата за отстранување, ја користат оваа слабост во дизајнот. Тие им дозволуваат на злонамерни актери да креираат VM преку VMmanager, кои се користат за командно-контролна (C2) инфраструктура и за испорака на штетни програми.

Ова практично ги крие злонамерните системи меѓу илјадници безопасни, ја комплицира идентификацијата и го прави брзото отстранување малку веројатно.

Поголемиот дел од злонамерните VM биле хостирани од мала група провајдери со лоша репутација или санкции, вклучувајќи Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD и JSC IOT.

Sophos исто така откри провајдер со директна контрола над физичката инфраструктура наречен MasterRDP, кој користи VMmanager за избегнување и нуди VPS и RDP услуги кои не ги исполнуваат законските барања.

Според Sophos, четири од најчестите ISPsystem имиња на хостови „заседнуваат повеќе од 95% од вкупниот број ISPsystem виртуелни машини со пристап кон интернет:“

  • WIN-LIVFRVQFMKO
  • WIN-LIVFRVQFMKO
  • WIN-344VU98D3RU
  • WIN-J9D866ESIJ2

Сите тие биле присутни или во податоци од детекција на клиенти, или во телеметрија поврзана со сајбер-криминална активност.

Истражувачите нагласуваат дека, иако ISPsystem VMmanager е легитимна платформа за управување со виртуелизација, таа е привлечна за сајбер-криминалците поради „ниската цена, лесната достапност и можноста за брзо поставување“.

BleepingComputer контактираше со ISPsystem за да праша дали се свесни за злоупотребата на VM шаблоните во голема мера и какви се нивните планови за решавање на проблемот, но до моментот на објавување немаше достапно соопштение.

Извори:

  • Bleeping Computer – Ransomware gang uses ISPsystem VMs for stealthy payload delivery Bleeping Computer