Sophos 研究揭露：數千台相同伺服器成為全球勒索軟體的運作基礎

Sophos 分析師發現，勒索軟體集團並非自行架設伺服器，而是租用價格低廉的虛擬機器。這個作法讓駭客能夠快速擴大行動規模、維持匿名性，並確保其惡意活動持續運作。即使其中一台伺服器遭到關閉，仍有數百台幾乎一模一樣的伺服器持續存在並運作。

這項研究是根據多起 WantToCry 勒索軟體事件的調查，研究發現攻擊者使用的伺服器皆擁有相同、由系統自動產生的 Windows 主機名稱。這些主機名稱在不同事件及多個國家反覆出現，顯示實際上有數以千計的犯罪伺服器共用了相同的基礎架構。

以下是幾項重要發現：

• ISPsystem (主機代管與虛擬機器管理平台) 上重複的虛擬機器主機名稱成為追蹤勒索軟體基礎架構的關鍵線索：數以千計的主機代管與虛擬機器平台共用固定的主機名稱，其中許多與勒索軟體及惡意程式活動有關。
• 大多數活動集中在少數幾家服務供應商：多數受影響的虛擬機器託管於特定幾家供應商，其中部分與國家級資助行動或網路犯罪活動有關。
• 濫用防彈式 (即使收到反應，業者仍然會讓伺服器維持運作) 託管服務：像 MasterRDP 這些業者將虛擬機器出租給犯罪分子，讓他們濫用合法的主機代管與虛擬機器基礎架構。

MasterRDP 很有可能是網路犯罪生態系中眾多防彈式供應商之一，這類業者會將架設於具備「容忍濫用」特性的基礎架構上的虛擬機器出租給具有惡意意圖的客戶，其中包括從事勒索軟體行動與惡意程式散布的攻擊者。

ISPsystem 的 VMmanager 本身是一套合法的商業化虛擬化管理平台，廣泛應用於託管產業，其軟體本身並不具備惡意行為。然而，由於其成本低廉、導入門檻低，以及可快速部署的即用型特性，使其對網路犯罪分子極具吸引力；同時，其在合法環境中的廣泛使用，也讓惡意行為得以隱身於合乎規範的部署之中，成為攻擊者的行動掩護。