Operator ransomware diketahui menghosting serta mendistribusikan payload dalam skala besar dengan memanfaatkan mesin virtual (virtual machine/VM) yang disediakan oleh ISPsystem, sebuah penyedia layanan manajemen infrastruktur virtual yang legal.
Praktik ini terungkap oleh peneliti keamanan siber dari Sophos saat mereka menyelidiki insiden ransomware WantToCry terbaru. Dalam penyelidikan tersebut, Sophos menemukan bahwa para pelaku menggunakan VM berbasis Windows dengan nama host yang sama persis, yang mengindikasikan penggunaan template bawaan dari VMmanager, produk milik ISPsystem.
Penelusuran lanjutan menunjukkan bahwa nama host identik tersebut juga muncul dalam infrastruktur milik berbagai kelompok ransomware lain, seperti LockBit, Qilin, Conti, BlackCat/ALPHV, dan Ursnif, serta dalam sejumlah kampanye malware pencuri data, termasuk RedLine dan Lummar.
ISPsystem sendiri merupakan perusahaan perangkat lunak sah yang mengembangkan panel kontrol bagi penyedia layanan hosting. Produk-produknya digunakan untuk mengelola server virtual, pemeliharaan sistem operasi, dan berbagai kebutuhan infrastruktur lainnya. VMmanager adalah platform virtualisasi mereka yang memungkinkan pelanggan menjalankan VM berbasis Windows maupun Linux.
Sophos mengungkap bahwa template Windows default pada VMmanager secara konsisten menggunakan kembali nama host dan pengenal sistem yang sama setiap kali diterapkan. Kelemahan desain ini kemudian dimanfaatkan oleh sejumlah penyedia hosting yang secara sadar mendukung aktivitas kejahatan siber dan mengabaikan permintaan penghapusan (takedown).
Dengan menggunakan VMmanager, para pelaku dapat menjalankan VM yang berfungsi sebagai infrastruktur command-and-control (C2) serta sarana distribusi payload. Akibatnya, sistem berbahaya tersebut tersembunyi di antara ribuan VM sah, sehingga menyulitkan proses atribusi dan hampir mustahil untuk dilakukan penghapusan secara cepat.
Sebagian besar VM berbahaya tersebut dihosting oleh sejumlah kecil penyedia dengan reputasi buruk, di antaranya Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD, dan JSC IOT.
Sophos juga mengidentifikasi penyedia bernama MasterRDP yang memiliki kendali langsung atas infrastruktur fisik. Penyedia ini menggunakan VMmanager untuk menghindari deteksi serta menawarkan layanan VPS dan RDP tanpa mematuhi permintaan hukum.
Menurut Sophos, empat nama host ISPsystem yang paling sering ditemukan mencakup lebih dari 95% total VM ISPsystem yang terhubung ke internet, yaitu:
- WIN-LIVFRVQFMKO
- WIN-LIVFRVQFMKO
- WIN-344VU98D3RU
- WIN-J9D866ESIJ2
Keempat nama host tersebut muncul baik dalam sistem deteksi pelanggan maupun dalam data telemetri yang berkaitan dengan aktivitas kejahatan siber.
Para peneliti menegaskan bahwa meskipun VMmanager merupakan platform manajemen virtualisasi yang sah, layanan ini menarik bagi pelaku kejahatan siber karena biaya yang relatif murah, hambatan masuk yang rendah, serta kemudahan penerapan secara instan (turnkey).
0 Comments
