Операторы программ-вымогателей размещают и доставляют вредоносные полезные нагрузки в больших масштабах, злоупотребляя виртуальными машинами (ВМ), предоставляемыми ISPsystem, законным поставщиком услуг управления виртуальной инфраструктурой.
Исследователи из компании по кибербезопасности Sophos наблюдали эту тактику при расследовании недавних инцидентов с программой-вымогателем «WantToCry». Они обнаружили, что злоумышленники использовали ВМ Windows с одинаковыми именами хостов, что указывает на использование шаблонов по умолчанию, сгенерированных VMmanager от ISPsystem.
Углубленно изучив вопрос, исследователи обнаружили, что те же имена хостов присутствовали в инфраструктуре нескольких операторов программ-вымогателей, включая LockBit, Qilin, Conti, BlackCat/ALPHV и Ursnif, а также в различных вредоносных кампаниях, связанных с похитителями информации RedLine и Lummar.
ISPsystem — это законная компания-разработчик программного обеспечения, которая создает панели управления для хостинг-провайдеров, используемые для управления виртуальными серверами, обслуживания операционных систем и т. д. VMmanager — это платформа управления виртуализацией компании, используемая для создания ВМ Windows или Linux для клиентов.
Sophos обнаружил, что стандартные шаблоны Windows в VMmanager при каждом развертывании повторно используют одно и то же имя хоста и системные идентификаторы.
«Защищенные» хостинг-провайдеры, которые сознательно поддерживают киберпреступные операции и игнорируют запросы на удаление, используют эту конструктивную слабость. Они позволяют злоумышленникам создавать ВМ через VMmanager, которые используются для инфраструктуры управления и контроля (C2) и доставки полезной нагрузки.
По сути, это скрывает вредоносные системы среди тысяч безобидных, усложняет атрибуцию и делает быстрое удаление маловероятным.
Большинство вредоносных ВМ размещались у небольшого кластера провайдеров с плохой репутацией или находящихся под санкциями, включая Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD и JSC IOT.
Sophos также обнаружил провайдера с прямым контролем над физической инфраструктурой под названием MasterRDP, который использует VMmanager для уклонения и предлагает услуги VPS и RDP, не соответствующие законным запросам.
По данным Sophos, четыре наиболее распространенных имени хостов ISPsystem «обеспечивают более 95% от общего числа виртуальных машин ISPsystem, доступных в Интернете»:
- WIN-LIVFRVQFMKO
- WIN-LIVFRVQFMKO
- WIN-344VU98D3RU
- WIN-J9D866ESIJ2
Все они присутствовали либо в данных обнаружения клиентов, либо в телеметрических данных, связанных с киберпреступной деятельностью.
Исследователи отмечают, что, хотя VMmanager от ISPsystem является законной платформой для управления виртуализацией, она также привлекательна для киберпреступников благодаря «низкой стоимости, низкому порогу входа и возможностям развертывания „под ключ“».
BleepingComputer связался с ISPsystem, чтобы узнать, осведомлены ли они о масштабном злоупотреблении шаблонами ВМ и каковы их планы по решению этой проблемы, но на момент публикации заявление не было предоставлено.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
