- Sophos relata provedores de hospedagem à prova de balas que alugam servidores baseados em VMmanager para cibercriminosos
- Modelos idênticos do Windows deixam milhares de servidores expostos explorados por campanhas de ransomware e malware
- Infraestrutura ligada a grandes grupos (LockBit, Conti, BlackCat, Qilin, TrickBot, etc.) e empresa de hospedagem russa sancionada
À prova de balas hospedagem os provedores estão alugando infraestrutura barata para criminosos cibernéticos, fornecendo-lhes máquinas virtuais que podem usar em ataques de ransomware, descobriu uma nova pesquisa.
UM relatório da Sophos explicou como os serviços legítimos estavam sendo abusados para lançar ataques em escalas massivas sem a necessidade de construir uma infraestrutura personalizada.
Ao investigar vários ataques de ransomware, a equipe descobriu que muitos invasores usavam servidores Windows com nomes de host idênticos (um nome atribuído a um dispositivo em uma rede). Como era óbvio que todos esses ataques não poderiam ter sido feitos por um único invasor, eles se aprofundaram e descobriram que os sistemas eram, na verdade, máquinas virtuais criadas a partir dos mesmos modelos pré-construídos do Windows.
Abuso através de hospedagem à prova de balas
Eles foram fornecidos pelo ISPsystem VMmanager, uma plataforma de virtualização legítima que aparentemente é amplamente utilizada entre provedores de hospedagem. Quando eles criam uma nova VM, os modelos não randomizam os nomes dos hosts, fazendo com que milhares de servidores não relacionados na Internet pareçam quase idênticos.
Agora, a Sophos diz que os cibercriminosos estão explorando isso, em grande escala, através de dispositivos à prova de balas. provedores de hospedagem (empresas de hospedagem que não reagem a solicitações de remoção ou denúncias de abuso) que alugam servidores baseados em VMmanager para criminosos.
Usando o Shodan, os pesquisadores conseguiram encontrar dezenas de milhares de servidores expostos à Internet com os mesmos nomes de host. Quase todos eles (95%) vieram de alguns modelos do Windows, e muitos eram habilitados para KSM (o Windows funciona gratuitamente por 180 dias sem licença).
A Sophos afirma que os servidores estão vinculados a grandes operações maliciosas: LockBit, Conti, BlackCat (ALPHV), Qilin, TrickBot, Ursnif, RedLine, NetSupport e muitas outras. Ele também disse que a maior parte da infraestrutura estava vinculada a empresas de hospedagem específicas e destacou dois nomes – Stark Industries Solutions e First Server Limited.
Ambos estão aparentemente ligados a atores de ameaças patrocinados pelo Estado russo e foram sancionados pela UE e pelo Reino Unido no passado.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.