Вымогательские атаки: все на одно лицо или «проблема bulletproof hosting»

При массовом использовании стандартных шаблонных Windows-образов при развертывании виртуальных машин разные серверы получают одинаковые имена хостов. Когда такие серверы, арендованные различными клиентами, фигурируют в расследованиях вымогательских атак, их инфраструктурные признаки совпадают между собой, что может создавать ложное впечатление использования единой инфраструктуры. Аналитики компании Sophos, разработчика решений в области информационной безопасности, пришли к такому выводу в ходе исследования подразделения Counter Threat Unit (CTU), опубликованного в корпоративном блоге компании, отметив, что за этими атаками на практике стоят разные киберпреступные группы.

В исследовании Sophos рассматривается инфраструктура хостинг-провайдеров, относимых к сегменту bulletproof hosting, которая, по данным аналитиков, на протяжении нескольких лет фигурирует в расследованиях киберпреступных инцидентов.

Как используется легитимная инфраструктура

Как отмечают исследователи, в таких сценариях используется легитимная платформа управления виртуализацией ISPsystem VMmanager, широко применяемая в хостинг-индустрии. За счет стандартных шаблонов Windows Server виртуальные машины разворачиваются без изменения параметров по умолчанию, включая имя хоста и связанные системные идентификаторы.

Подобная инфраструктура, по данным Sophos,  используется в рамках операций с вымогательским ПО, вредоносными загрузчиками и инструментами удаленного управления, а также в фишинговых кампаниях и при управлении ботнетами.

С чего началось расследование

Расследование началось в конце 2025 года при анализе инцидентов с использованием вымогательского ПО WantToCry. Аналитики SophosLabs обратили внимание, что атаки исходили от Windows-серверов с одинаковыми именами хостов, полученными из шаблонов Windows, распространяемых через ISPsystem.

Дальнейшее изучение показало, что те же имена хостов фигурировали в инцидентах, связанных с другими семействами вредоносного ПО и программами-вымогателями, включая LockBit, Qilin и ALPHV/BlackCat, а также NetSupport RAT и Ursnif.

Тысячи серверов с одинаковыми именами

По информации Sophos и поисковой системы Shodan, индексирующей доступные из интернета серверы и сетевые устройства, к декабрю 2025 года два наиболее распространенных имени хостов были связаны с тысячами доступных из интернета систем. Было зафиксировано 3 645 активных хостов с именем WIN-J9D866ESIJ2 и 7 937 — с именем WIN-LIVFRVQFMKO.

Большинство таких устройств по данным Sophos располагались в России, также они обнаруживались в других странах СНГ, Европе и США. Отдельные экземпляры были зафиксированы в Иране. Эти данные приводятся в исследовании Sophos со ссылкой на собственные измерения и результаты Shodan.

В чем техническая причина совпадений

В компании поясняют, что проблема носит системный характер. Шаблонные образы Windows Server, включая версии 2012 R2, 2016, 2019 и 2022, содержат заранее заданные имена хостов, которые не изменяются автоматически при развертывании виртуальной машины.

Наиболее массово, по данным Sophos, использовались образы Windows Server 2019 и 2022, в том числе варианты с поддержкой KMS. На четыре наиболее распространенных имени хостов пришлось более 95% всех виртуальных машин ISPsystem, доступных из интернета на момент исследования.

Проверка гипотезы в лабораторных условиях

Для проверки своей гипотезы аналитики CTU развернули тестовые виртуальные машины у хостинг-провайдера, использующего ISPsystem VMmanager, а также в собственной лабораторной среде. Во всех случаях система автоматически присваивала одно и то же имя хоста, что воспроизводило поведение, наблюдаемое в инфраструктуре, используемой киберпреступными группами.

По оценке исследователей, это подтверждает, что совпадения связаны не с координацией злоумышленников, а с особенностями шаблонов виртуальных машин.

Почему это осложняет расследование атак

Массовое использование одинаковых имен хостов и связанных с ними идентификаторов искажает картину при анализе атак. С точки зрения внешнего наблюдателя такие серверы могут выглядеть как элементы единой инфраструктуры, хотя на практике они используются разными киберпреступными группами.

Это затрудняет атрибуцию кампаний, снижает надежность инфраструктурных индикаторов компрометации и усложняет работу по выявлению и отключению вредоносных серверов, подчеркивают аналитики.

Провайдеры, упомянутые в исследовании Sophos

В ходе исследования аналитики CTU также выявили многочисленные упоминания провайдера MasterRDP, работающего под брендом rdp.monster, в наборах данных, связанных с системами, использующими шаблонные Windows-образы ISPsystem. В отчете Sophos отмечается, что данный сервис фигурировал в материалах, связанных с инфраструктурой, применяемой для размещения виртуальных машин, используемых в рамках киберпреступной активности.

Отдельно в исследовании указывается на концентрацию подобных виртуальных машин у ограниченного числа хостинг-провайдеров. Часть из них, как отмечают в Sophos со ссылкой на данные сторонних исследователей и решения регуляторов, ранее уже фигурировала в расследованиях, связанных с киберпреступной активностью и дезинформационными операциями.

При этом в компании подчеркивают, что сама платформа ISPsystem VMmanager является легитимным коммерческим продуктом и не содержит вредоносного функционала, а выявленные злоупотребления связаны с практиками ее использования в определенных сегментах хостинг-рынка.

Подробное описание методики и выводов исследования опубликовано в блоге Sophos.