Pesquisadores da Sophos identificaram uma nova tática utilizada por operadores de ransomware, que consiste em abusar de máquinas virtuais (VMs) fornecidas pela ISPsystem, uma empresa legítima de gerenciamento de infraestrutura virtual. Durante a investigação de incidentes recentes relacionados ao ransomware ‘WantToCry’, foi observado que os atacantes utilizavam VMs Windows com nomes de host idênticos, indicando o uso de templates padrão do VMmanager da ISPsystem. Essa prática foi encontrada em várias infraestruturas de grupos de ransomware conhecidos, como LockBit e Conti. A ISPsystem, que oferece uma plataforma de gerenciamento de virtualização, não parece estar ciente do uso indevido de seus templates, que reutilizam nomes de host e identificadores de sistema, facilitando a operação de cibercriminosos. A maioria das VMs maliciosas foi hospedada por provedores com má reputação, o que complica a atribuição de responsabilidades e torna a remoção rápida dessas infraestruturas improvável. A Sophos destaca que quatro nomes de host da ISPsystem representam mais de 95% das VMs expostas à internet associadas a atividades cibercriminosas.
Fonte: https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-ispsystem-vms-for-stealthy-payload-delivery/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
05/02/2026 • Risco: ALTO
RANSOMWARE
Operadores de ransomware abusam de VMs legítimas para ataques
RESUMO EXECUTIVO
O uso de VMs legítimas por cibercriminosos representa um risco crescente para as organizações. A reutilização de nomes de host e a falta de controle sobre a infraestrutura virtual podem levar a incidentes de segurança graves, exigindo que os CISOs implementem medidas de mitigação e monitoramento eficazes.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido a ataques de ransomware.
Operacional
Comprometimento de infraestruturas e dificuldade na atribuição de ataques.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Educação']
📊 INDICADORES CHAVE
Mais de 95% das VMs expostas associadas a atividades cibercriminosas.
Indicador
Identificação de múltiplos grupos de ransomware utilizando a mesma infraestrutura.
Contexto BR
Uso de templates padrão do VMmanager da ISPsystem.
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar a infraestrutura de VMs para identificar possíveis abusos.
2
Implementar controles de acesso e monitoramento em tempo real das VMs.
3
Acompanhar atividades suspeitas associadas a nomes de host conhecidos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas infraestruturas virtuais, especialmente com a possibilidade de serem alvos de ataques que utilizam VMs legítimas.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e à responsabilidade por dados comprometidos.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
