Sophos 分析師發現,勒索軟體集團並非自行架設伺服器,而是租用價格低廉的虛擬機器。這個作法讓駭客能夠快速擴大行動規模、維持匿名性,並確保其惡意活動持續運作。即使其中一台伺服器遭到關閉,仍有數百台幾乎一模一樣的伺服器持續存在並運作。
這項研究是根據多起 WantToCry 勒索軟體事件的調查,研究發現攻擊者使用的伺服器皆擁有相同、由系統自動產生的 Windows 主機名稱。這些主機名稱在不同事件及多個國家反覆出現,顯示實際上有數以千計的犯罪伺服器共用了相同的基礎架構。
以下是幾項重要發現:
- 重複的虛擬機器主機名稱成為追蹤勒索軟體基礎架構的關鍵線索:數以千計的主機代管與虛擬機器平台共用固定的主機名稱,其中許多與勒索軟體及惡意程式活動有關。
- 大多數活動集中在少數幾家服務供應商:多數受影響的虛擬機器託管於特定幾家供應商,其中部分與國家級資助行動或網路犯罪活動有關。
- 濫用防彈式 (即使收到反應,ISP 仍然會讓伺服器維持運作) 託管服務:像 MasterRDP 這些業者將虛擬機器出租給犯罪分子,讓他們濫用合法的主機代管與虛擬機器基礎架構。
相關研究報告請參見此處。
熱門新聞
2026-02-02
2026-02-03
2026-02-04
2026-02-02
2026-02-04
2026-02-03
2026-02-05
Advertisement