- أبلغت شركة Sophos عن قيام موفري خدمات الاستضافة المضادة للرصاص بتأجير خوادم قائمة على VMmanager لمجرمي الإنترنت
- تترك قوالب Windows المتطابقة آلاف الخوادم المكشوفة مستغلة لحملات برامج الفدية والبرامج الضارة
- البنية التحتية المرتبطة بالمجموعات الرئيسية (LockBit، وConti، وBlackCat، وQilin، وTrickBot، وما إلى ذلك) وشركة الاستضافة الروسية الخاضعة للعقوبات
توصل بحث جديد إلى أن مقدمي خدمات الاستضافة المضادة للرصاص يؤجرون بنية تحتية رخيصة الثمن لمجرمي الإنترنت، ويزودونهم بأجهزة افتراضية يمكنهم استخدامها في هجمات برامج الفدية.
وأوضح تقرير من سوفوس كيف يتم إساءة استخدام الخدمات المشروعة لشن هجمات على نطاق واسع دون الحاجة إلى إنشاء بنية تحتية مخصصة.
أثناء التحقيق في العديد من هجمات برامج الفدية، اكتشف الفريق أن العديد من المهاجمين كانوا يستخدمون خوادم Windows بأسماء مضيفة متطابقة (اسم مخصص لجهاز على الشبكة). نظرًا لأنه كان من الواضح أن كل هذه الهجمات لا يمكن أن ينفذها مهاجم واحد، فقد بحثوا بشكل أعمق ووجدوا أن الأنظمة كانت في الواقع أجهزة افتراضية تم إنشاؤها من نفس قوالب Windows المعدة مسبقًا.
سوء المعاملة من خلال استضافة مضادة للرصاص
تم توفيرها بواسطة ISPsystem VMmanager، وهي منصة افتراضية مشروعة يبدو أنها تستخدم على نطاق واسع بين موفري الاستضافة. عندما يقومون بإنشاء جهاز افتراضي جديد، لا تقوم القوالب بترتيب أسماء المضيفين بشكل عشوائي، مما يؤدي إلى ظهور الآلاف من الخوادم غير المرتبطة على الإنترنت متطابقة تقريبًا.
الآن، تقول سوفوس إن مجرمي الإنترنت يستغلون ذلك، على نطاق واسع، من خلال موفري الاستضافة المضادين للرصاص (الشركات المضيفة التي لا تتفاعل مع طلبات الإزالة أو تقارير إساءة الاستخدام) التي تؤجر خوادم قائمة على VMmanager للمحتالين.
وباستخدام Shodan، تمكن الباحثون من العثور على عشرات الآلاف من الخوادم المعرضة للإنترنت والتي تحمل نفس أسماء المضيفين. جميعها تقريبًا (95%) أتت من عدد قليل من قوالب Windows، والعديد منها كان ممكّنًا لـ KSM (يعمل Windows مجانًا لمدة 180 يومًا بدون ترخيص).
تقول Sophos إن الخوادم مرتبطة بعمليات ضارة كبرى: LockBit، وConti، وBlackCat (ALPHV)، وQilin، وTrickBot، وUrsnif، وRedLine، وNetSupport، وغيرها الكثير. وقالت أيضًا إن معظم البنية التحتية كانت مرتبطة بشركات استضافة محددة، وخصت اسمين – Stark Industries Solutions وFirst Server Limited.
ويبدو أن كلاهما مرتبطان بجهات تهديد ترعاها الدولة الروسية وقد فرض عليهما الاتحاد الأوروبي والمملكة المتحدة عقوبات في الماضي.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات