Geng Ransomware menggunakan VM sistem ISP untuk pengiriman muatan secara diam-diam

Operator Ransomware menghosting dan mengirimkan muatan berbahaya dalam skala besar dengan menyalahgunakan mesin virtual (VM) yang disediakan oleh ISPsystem, penyedia manajemen infrastruktur virtual yang sah.

Para peneliti di perusahaan keamanan siber Sophos mengamati taktik tersebut saat menyelidiki insiden ransomware ‘WantToCry’ baru-baru ini. Mereka menemukan bahwa penyerang menggunakan VM Windows dengan nama host yang sama, menyarankan templat default yang dihasilkan oleh VMmanager sistem ISP.

Jika ditelusuri lebih dalam, para peneliti menemukan bahwa nama host yang sama terdapat dalam infrastruktur beberapa operator ransomware, termasuk LockBit, Qilin, Conti, BlackCat/ALPHV, dan Ursnif, serta berbagai kampanye malware yang melibatkan pencuri informasi RedLine dan Lummar.

ISPsystem adalah perusahaan perangkat lunak sah yang mengembangkan panel kontrol untuk penyedia hosting, digunakan untuk pengelolaan server virtual, pemeliharaan OS, dll. VMmanager adalah platform manajemen virtualisasi perusahaan yang digunakan untuk menjalankan VM Windows atau Linux untuk pelanggan.

Sophos ditemukan bahwa templat Windows default VMmanager menggunakan kembali nama host dan pengidentifikasi sistem yang sama setiap kali diterapkan.

Penyedia hosting antipeluru yang dengan sengaja mendukung operasi kejahatan dunia maya dan mengabaikan permintaan penghapusan memanfaatkan kelemahan desain ini. Mereka mengizinkan aktor jahat untuk menjalankan VM melalui VMmanager, yang digunakan untuk infrastruktur perintah dan kontrol (C2) dan pengiriman muatan.

Hal ini pada dasarnya menyembunyikan sistem berbahaya di antara ribuan sistem yang tidak berbahaya, mempersulit atribusi, dan membuat penghapusan cepat tidak mungkin terjadi.

Mayoritas VM jahat dihosting oleh sekelompok kecil penyedia dengan reputasi atau sanksi buruk, termasuk Stark Industries Solutions Ltd., Zomro BV, First Server Limited, Partner Hosting LTD, dan JSC IOT.

Sophos juga menemukan penyedia dengan kendali langsung atas infrastruktur fisik bernama MasterRDP, yang menggunakan VMmanager untuk penghindaran dan menawarkan layanan VPS dan RDP yang tidak mematuhi permintaan hukum.

Menurut Sophos, empat hotname sistem ISP yang paling umum “menyumbang lebih dari 95% dari total jumlah mesin virtual sistem ISP yang terhubung ke internet:”

• MENANG-LIVFRVQFMKO
• MENANG-LIVFRVQFMKO
• MENANG-344VU98D3RU
• MENANG-J9D866ESIJ2

Semuanya hadir baik dalam deteksi pelanggan atau data telemetri yang terkait dengan aktivitas penjahat dunia maya.

Para peneliti mencatat bahwa meskipun ISPsystem VMmanager adalah platform yang sah untuk manajemen virtualisasi, ia juga menarik bagi penjahat dunia maya karena “biayanya yang rendah, hambatan masuk yang rendah, dan kemampuan penerapan turnkey.”

BleepingComputer telah menghubungi ISPsystem untuk menanyakan apakah mereka mengetahui penyalahgunaan templat VM dalam skala besar dan rencana mereka untuk mengatasi masalah tersebut, namun pernyataan tidak tersedia pada waktu penerbitan.

Pembaruan 2/6 – Juru bicara ISPsystem mengirimkan pernyataan berikut kepada BleepingComputer, yang mengonfirmasi bahwa mereka telah menambahkan pengacakan dalam penetapan nama host:

“Kami berterima kasih kepada Sophos CTU atas penelitian mereka. Sebagai pengembang VMmanager, kami memahami bahwa kualitas yang membuat platform kami efektif untuk bisnis—kesederhanaan dan kecepatan penerapan—dapat disalahgunakan. Kami telah merilis pembaruan untuk templat Windows: sekarang, setiap kali mesin virtual baru diterapkan, namanya dibuat secara acak. Hal ini menghilangkan kemungkinan tumpang tindih pengidentifikasi teknis dan mengatasi risiko spesifik yang disoroti dalam laporan. Kami menghargai kontribusi para ahli terhadap keamanan dan siap membantu membangun lingkungan yang aman bersama-sama.” – Tim sistem ISP