Srovnání úrovně záruk a SLA u HPE, DELL a LENOVO | Scenario s.r.o.
Mobilní menu - UPdate IT

Kyberzločinci zneužívají infrastrukturu virtuálních serverů

Bezpečnostní analytici v závěru roku 2025 upozornili na zneužívání legitimní virtualizační infrastruktury k provozu škodlivých aktivit. Útočníci si prostřednictvím poskytovatelů tzv. „bulletproof hostingu“ pronajímají virtuální servery, které následně využívají pro ransomware, šíření malwaru či řízení botnetů.

Vyšetřování několika útoků, včetně kampaní s ransomwarem WantToCry, ukázalo, že pachatelé používali virtuální stroje s automaticky generovanými názvy hostitelů vycházejícími ze standardních šablon Windows Serveru. Tyto šablony pocházejí z platformy ISPsystem VMmanager – běžně používaného a legitimního nástroje pro správu virtualizace.

Stejné názvy, různí útočníci

Zpočátku by se mohlo zdát, že opakující se názvy serverů znamenají činnost jedné skupiny. Realita je však jiná. Analýza internetově dostupných systémů ukázala tisíce veřejně přístupných zařízení se stejnými hostnames a otevřeným RDP portem.

To naznačuje, že nejde o jednu organizovanou skupinu, ale o masové nasazení předpřipravených šablon virtuálních serverů, které si pronajímá široké spektrum útočníků. Infrastruktura je koncentrována zejména u několika hostingových poskytovatelů a v určitých geografických oblastech.

Propojení na ransomware i státem podporované aktéry

Stejné názvy serverů byly v minulosti zaznamenány při útocích využívajících ransomware LockBit, Qilin či BlackCat (ALPHV), ale i při šíření nástrojů jako NetSupport RAT nebo Ursnif. Některé z těchto incidentů byly spojovány i s aktéry napojenými na ruské státní zájmy nebo dezinformační kampaně.

Hostingové společnosti, které tuto infrastrukturu poskytují, byly v některých případech předmětem sankcí nebo vyšetřování kvůli tolerování škodlivých aktivit.

Jak k tomu dochází?

Výzkum ukázal, že některé široce používané šablony Windows Serveru obsahují pevně nastavené názvy zařízení, které se při nasazení automaticky negenerují náhodně. Výsledkem je velké množství virtuálních serverů po celém světě se stejným identifikátorem.

Samotná platforma ISPsystem VMmanager je legitimní a běžně využívaný nástroj. Problém spočívá v tom, že její nízké náklady, snadné nasazení a široká dostupnost umožňují i zneužití v prostředí tzv. bulletproof hostingu – tedy infrastruktury, která vědomě toleruje nelegální obsah a odolává pokusům o odstavení.

Co to znamená pro firmy?

  • Útočníci stále častěji využívají legitimní cloudové a virtualizační služby.

  • Sdílené technické znaky (např. hostname) nemusí znamenat jednoho pachatele.

  • Masové nasazení předpřipravených šablon ztěžuje rychlou atribuci útoků.

Pro obranu to znamená nutnost zaměřit se více na detekci chování, monitoring vzdálených přístupů (např. RDP) a důslednou segmentaci infrastruktury, nikoli pouze na blokování konkrétních názvů serverů nebo IP adres

Scenario s.r.o.