正規のITソフトウェアと大規模なサイバー犯罪活動の間にある、意外なつながり。「WantToCry」ランサムウェア集団による攻撃を調査していたアナリストは、攻撃者が WIN-J9D866ESIJ2 や WIN-LIVFRVQFMKO のように、同一のコンピューター名(ホスト名)を持つ仮想マシン(VM)を使用していることに気づきました。
これらの名前は偶然ではありませんでした。これらは、Webサーバー管理用ソフトウェアを開発する完全に正規の企業である ISPsystem によって自動生成されていたのです。
ホスティング事業者は、ISPsystemの「VMmanager」を使って、顧客向けにWindowsサーバーを迅速に作成します。
しかし、これらのテンプレートのデフォルト設定では、新しいサーバーすべてにまったく同じ名前が付与されます。この設計上の癖がデジタル指紋となり、研究者はインターネット上の至る所で数千台のこうしたマシンを見つけることができました。
「防弾(Bulletproof)」とのつながり
2025年後半、SophosLabsのアナリストは調査し、WantToCryによる複数のリモート型ランサムウェア事案を分析しました。
問題はソフトウェアそのものではなく、それを誰が使っているかです。研究者は、法律を無視し犯罪サーバーの停止を拒む特定の「防弾」ホスティング事業者が、このソフトウェアを購入し、悪意ある者にサーバーを販売していたことを突き止めました。
2つの事業者、 Stark Industries Solutions と First Server Limited が、これらの疑わしいマシンの大半をホスティングしていました。
Stark Industriesはロシアの国家支援型サイバー活動との関連が指摘されており、欧州諸国の不安定化を助長したとして、2025年5月に欧州連合から制裁を受けました。
また、重要な関係者として MasterRDP (別名 rdp.monster)も特定されました。これは地下フォーラムで、ハッカー向けの匿名サーバーを公然と宣伝しています。
| WIN-J9D866ESIJ2 のホスティング事業者 | ホスト数 |
|---|---|
| First Server Limited | 592 |
| Stark Industries Solutions Ltd | 576 |
| Zomro B.V. | 308 |
| Global Connectivity Solutions LLP | 189 |
| Kontel LLC | 148 |
2025年後半までに、これらの特定のISPsystem名を使用するインターネット公開サーバーの95%以上がロシアに集中し、わずか4つの異なるホスト名に紐づいていました。
これらは小規模な詐欺に使われていただけではありません。以下を含む、世界で最も危険なランサムウェア集団の発射台となっていました。
- LockBit。
- BlackCat(ALPHV)。
- Conti(過去データ)。
- Qilin。
あるケースでは、特定のサーバー名が、「Bentley」と呼ばれる制裁対象の個人にも結び付けられていました。彼はTrickBotおよびContiのサイバー犯罪グループの既知メンバーです。
なぜ重要なのか
数千台のサーバーが同じコンピューター名とデジタル証明書を共有していると、セキュリティチームがそれらを見分けたり、攻撃の背後にいる人物を正確に特定したりすることが非常に難しくなります。
| WIN-LIVFRVQFMKO のホスティング事業者 | ホスト数 |
| Stark Industries Solutions Ltd | 634 |
| Zomro B.V. | 455 |
| First Server Limited | 414 |
| Partner Hosting LTD | 356 |
| JSC IOT | 355 |
これにより、異なる犯罪グループが、同一で匿名のサーバーが大量に存在する巨大なクラウドの中に紛れ込むことが可能になります。
ISPsystemのソフトウェアは業界標準のツールですが、低コストで使いやすいことから、サイバー犯罪経済にとって理想的な構成要素となってしまいました。
MasterRDPは、サイバー犯罪エコシステム内に存在する数多くのBPH事業者の一つであり、悪用を黙認するインフラ上でホストされたISPsystemの仮想マシンを、悪意ある目的を持つ顧客に貸し出しています。
翻訳元: https://gbhackers.com/bulletproof-hosting/
