- Sophos melaporkan penyedia hosting antipeluru menyewakan server berbasis VMmanager kepada penjahat dunia maya
- Templat Windows yang serupa membuat ribuan server terbuka dieksploitasi untuk kampanye ransomware dan malware
- Infrastruktur yang terhubung dengan grup besar (LockBit, Conti, BlackCat, Qilin, TrickBot, dll.) dan menyetujui perusahaan hosting Rusia
Antipeluru menjadi tuan rumah Penyedia layanan internet menyewakan infrastruktur murah kepada penjahat dunia maya, memberi mereka mesin virtual yang dapat mereka gunakan dalam serangan ransomware, demikian temuan penelitian baru.
A laporan dari Sophos menjelaskan bagaimana layanan yang sah disalahgunakan untuk melancarkan serangan dalam skala besar tanpa perlu membangun infrastruktur khusus.
Saat menyelidiki beberapa serangan ransomware, tim menemukan banyak penyerang menggunakan server Windows dengan nama host yang sama (nama yang ditetapkan untuk perangkat di jaringan). Karena jelas bahwa semua serangan tersebut tidak dapat dilakukan oleh satu penyerang saja, mereka menggali lebih dalam dan menemukan bahwa sistem tersebut sebenarnya adalah mesin virtual yang dibuat dari template Windows bawaan yang sama.
Penyalahgunaan melalui hosting antipeluru
Ini disediakan oleh ISPsystem VMmanager, sebuah platform virtualisasi sah yang tampaknya banyak digunakan di kalangan penyedia hosting. Saat mereka membuat VM baru, templatnya tidak mengacak nama host, sehingga ribuan server yang tidak terkait di internet terlihat hampir sama.
Kini, Sophos mengatakan penjahat dunia maya mengeksploitasi hal ini, dalam skala besar, melalui alat antipeluru penyedia hosting (perusahaan hosting yang tidak bereaksi terhadap permintaan penghapusan atau laporan penyalahgunaan) yang menyewakan server berbasis VMmanager kepada penjahat.
Dengan menggunakan Shodan, para peneliti berhasil menemukan puluhan ribu server yang terekspos internet dengan nama host yang sama. Hampir semuanya (95%) berasal dari beberapa templat Windows, dan banyak di antaranya yang mendukung KSM (Windows berjalan gratis selama 180 hari tanpa lisensi).
Sophos mengatakan server tersebut terkait dengan operasi jahat besar: LockBit, Conti, BlackCat (ALPHV), Qilin, TrickBot, Ursnif, RedLine, NetSupport, dan banyak lainnya. Ia juga mengatakan sebagian besar infrastruktur terkait dengan perusahaan hosting tertentu, dan memilih dua nama – Stark Industries Solutions, dan First Server Limited.
Keduanya tampaknya terkait dengan aktor ancaman yang disponsori negara Rusia dan telah mendapat sanksi dari UE dan Inggris di masa lalu.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
