Missbrauchte Cloud: : Cyberkriminelle kapern tausende virtuelle Server
Forensische Analysen zeigen, wie Angreifer legitime Hosting-Infrastrukturen nutzen, um Ransomware zu verbreiten, Schadsoftware zu betreiben und ihre Aktivitäten hinter unverdächtigen Systemen zu verbergen.
Cyberkriminelle setzen zunehmend auf professionelle Infrastruktur statt auf improvisierte Botnetze. Neue Untersuchungen belegen, dass tausende virtuelle Maschinen auf legitimen Hosting-Plattformen gezielt für Angriffe missbraucht werden – mit klaren Schwerpunkten in Russland, aber auch in Deutschland und den Niederlanden.
Ransomware-Spuren führen zu standardisierten Cloud-Systemen
Ausgangspunkt der Analyse waren mehrere Ransomware-Vorfälle rund um WantToCry Ende 2025. In allen untersuchten Fällen nutzten die Angreifer virtuelle Maschinen mit automatisch erzeugten NetBIOS-Hostnamen aus Windows-Templates des Infrastrukturmanagement-Anbieters ISPsystem.
Weitere Recherchen zeigten, dass öffentlich erreichbare Systeme mit denselben Hostnamen regelmäßig in Cybercrime-Aktivitäten auftauchten. Dazu gehörten Ransomware-Operationen, Remote-Access-Trojaner (RAT) sowie die Verbreitung bekannter Schadsoftware. Besonders auffällig waren die Bezeichnungen WIN-J9D866ESIJ2 und WIN-LIVFRVQFMKO, die nicht nur bei WantToCry, sondern auch bei Angriffen mit LockBit, Qilin und BlackCat sowie beim Einsatz des NetSupport-Trojaners beobachtet wurden.
Identische Hostnamen über Jahre hinweg im Einsatz
Historische Daten belegen eine langfristige Wiederverwendung derselben Systemkennungen durch unterschiedliche Tätergruppen. Bereits 2021 diente ein System mit dem Hostnamen WIN-LIVFRVQFMKO als Zugangspunkt zu internen Chats bekannter Cybercrime-Strukturen, die später durch die sogenannten ContiLeaks öffentlich wurden.
In den folgenden Jahren tauchte derselbe Name erneut auf – etwa bei einer Ursnif-Kampagne gegen italienische Organisationen oder bei der Ausnutzung einer Schwachstelle in einer Endpoint-Management-Lösung. Eine Auswertung öffentlich erreichbarer Systeme zeigte schließlich mehrere tausend internetexponierte Server mit identischen Hostnamen und aktivierten Remote-Desktop-Diensten.
Geografisch lag der Schwerpunkt dieser Systeme in Russland. Deutschland und die Niederlande belegten jedoch die Plätze zwei und drei – vermutlich aufgrund ihrer leistungsfähigen Netzinfrastruktur, zentralen Internetknotenpunkte und stabilen Hosting-Ökosysteme.
Hinweise auf missbrauchstolerante Anbieter
Neben legitimer Nutzung deuten weitere Erkenntnisse auf Verbindungen einzelner Hosting-Anbieter zu kriminellen oder staatlich unterstützten Aktivitäten hin. Zwei Unternehmen traten dabei besonders hervor. Gegen Stark Industries Solutions verhängte der Europäische Rat im Mai 2025 Sanktionen wegen Unterstützung russischer Akteure. First Server Limited wird in Drittanalysen mit der Desinformationskampagne „Doppelganger“ in Verbindung gebracht.
Zudem fanden Ermittler in Untergrundforen zahlreiche Hinweise auf sogenannte Bulletproof-Hosting-Dienste, die gezielt Infrastruktur für Cybercrime vermarkten. Häufig genannt wurde ein Anbieter, der unter dem Namen MasterRDP bekannt ist.
Technische Schwäche begünstigt massenhaften Missbrauch
Die Ursache der wiederkehrenden Hostnamen liegt in nicht randomisierten Windows-Server-Images innerhalb der Virtualisierungsplattform ISPsystem VMmanager. Tests bestätigten, dass bereitgestellte Templates identische Hostnamen und Zertifikate enthalten. Besonders verbreitet sind zeitlich begrenzt aktivierbare Lizenzmodelle, die eine schnelle und kostengünstige Nutzung ermöglichen.
Mehr als 95 Prozent der öffentlich erreichbaren virtuellen Maschinen aus dieser Umgebung verwenden nur vier Hostnamen – alle konnten mit kriminellen Aktivitäten verknüpft werden. Gleichzeitig bleibt die Plattform selbst legitim und weit verbreitet. Gerade diese Mischung aus legaler Nutzung, niedrigen Kosten und einfacher Bereitstellung macht sie jedoch zu einer attraktiven Tarnumgebung für Angreifer.
Die Erkenntnisse zeigen, wie stark sich Cybercrime professionalisiert hat. Statt auffälliger Schadnetzwerke nutzen Täter zunehmend reguläre Cloud-Ressourcen – und erschweren damit Erkennung, Attribution und Abwehr erheblich.
Mehr Infos dazu gibt es hier.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
