Geng Ransomware Manfaatkan VM ISPsystem untuk Distribusi Payload Secara Terselubung

Operator ransomware dilaporkan memanfaatkan mesin virtual (VM) yang disediakan oleh ISPsystem untuk meng-host dan mendistribusikan payload berbahaya secara masif dan sulit terdeteksi. Praktik ini memungkinkan pelaku menyamarkan infrastruktur berbahaya di tengah ribuan VM sah, sehingga mempersulit atribusi dan memperlambat upaya penindakan.

Temuan tersebut diungkap oleh peneliti dari Sophos saat menyelidiki insiden ransomware WantToCry terbaru. Para peneliti menemukan penggunaan VM berbasis Windows dengan hostname identik, yang mengindikasikan pemanfaatan template default dari platform virtualisasi VMmanager milik ISPsystem.

Penelusuran lebih lanjut menunjukkan bahwa hostname yang sama juga muncul pada infrastruktur berbagai kelompok ransomware dan kampanye malware lain. Di antaranya termasuk LockBit, Qilin, Conti, BlackCat/ALPHV, Ursnif, serta operasi pencurian data yang melibatkan info-stealer seperti RedLine dan Lummar. Kesamaan ini mengarah pada satu pola: penggunaan template VMmanager yang mengulang hostname dan pengenal sistem setiap kali VM baru dibuat.

ISPsystem sendiri merupakan penyedia perangkat lunak manajemen infrastruktur virtual yang sah, dengan produk VMmanager yang banyak digunakan penyedia hosting untuk menyebarkan VM Windows maupun Linux. Namun, Sophos menemukan bahwa template Windows bawaan VMmanager menggunakan hostname dan identitas sistem yang sama secara berulang. Celah desain ini kemudian dimanfaatkan oleh penyedia hosting “bulletproof” yang mengabaikan permintaan penindakan, sehingga memungkinkan aktor kejahatan siber dengan mudah membuat VM untuk kebutuhan command-and-control (C2) dan pengiriman payload.

Dampaknya signifikan. Infrastruktur berbahaya dapat bersembunyi di antara sistem normal dalam skala besar, membuat pemutusan layanan menjadi lambat dan atribusi pelaku semakin sulit. Sophos mencatat bahwa sebagian besar VM berbahaya tersebut di-host oleh sekelompok kecil penyedia dengan reputasi buruk atau berada di bawah sanksi, termasuk Stark Industries Solutions Ltd., Zomro B.V., First Server Limited, Partner Hosting LTD, dan JSC IOT.

Peneliti juga mengidentifikasi penyedia bernama MasterRDP yang memiliki kontrol langsung atas infrastruktur fisik dan menggunakan VMmanager untuk tujuan penghindaran, sembari menawarkan layanan VPS dan RDP yang tidak patuh terhadap permintaan hukum.

Menurut Sophos, empat hostname ISPsystem yang paling sering ditemukan—WIN-LIVFRVQFMKO, WIN-344VU98D3RU, dan WIN-J9D866ESIJ2—mencakup lebih dari 95 persen VM ISPsystem yang terekspos ke internet. Seluruh hostname tersebut terdeteksi dalam data telemetri atau temuan pelanggan yang terkait langsung dengan aktivitas kejahatan siber.

Meski VMmanager merupakan platform sah, para peneliti menilai daya tariknya bagi pelaku kejahatan siber berasal dari biaya rendah, hambatan masuk yang minim, serta kemampuan penyebaran instan. Hingga laporan ini disusun, pihak ISPsystem belum memberikan pernyataan resmi terkait temuan penyalahgunaan skala besar atas template VM mereka.