Image credit: Freepix
Ransomware Sembunyi di Balik Mesin Virtual – Dunia keamanan siber kembali dikejutkan oleh temuan mengenai metode persembunyian yang sangat efektif bagi para penjahat siber kelas kakap.
Para peneliti keamanan baru-baru ini mengungkap bahwa berbagai operator ransomware ternama, mulai dari LockBit hingga BlackCat (ALPHV).
Telah menyalahgunakan platform manajemen infrastruktur virtual yang sah untuk menghosting dan mengirimkan payload berbahaya mereka dalam skala besar.
Pusat dari kontroversi ini adalah ISPsystem, sebuah perusahaan perangkat lunak legal yang mengembangkan panel kontrol untuk penyedia hosting.
Produk unggulan mereka, VMmanager, yang dirancang untuk memudahkan manajemen server virtual dan pemeliharaan OS, ternyata menjadi “pelabuhan aman” bagi aktivitas kriminal siber.
|
Baca juga: Ancaman Karyawan Samaran Deepfake |
Mekanisme Penyamaran
Kekuatan utama VMmanager adalah kemudahan penggunaan dan kecepatan penyebaran (turnkey deployment). Namun, kualitas yang sama inilah yang dieksploitasi oleh para penyerang.
Peneliti menemukan bahwa dalam versi terdahulu, template Windows standar dari VMmanager menggunakan nama hostname dan pengidentifikasi sistem yang identik setiap kali mesin virtual (VM) baru diluncurkan.
Hal ini menciptakan celah keamanan yang unik:
- Ribuan VM di seluruh dunia memiliki nama yang sama, seperti WIN-LIVFRVQFMKO atau WIN-344VU98D3RU.
- Sistem berbahaya milik peretas menjadi “jarum dalam tumpukan jerami digital.” Karena ribuan server bisnis yang sah menggunakan identitas yang sama, sistem keamanan sulit membedakan mana server perusahaan normal dan mana server Command-and-Control (C2) milik peretas.
- Penyelidik siber kesulitan melacak asal-usul serangan karena data telemetri menunjukkan ribuan perangkat dengan nama yang identik di berbagai lokasi geografis.
Aliansi dengan Penyedia “Bulletproof Hosting”
Eksploitasi ini tidak terjadi di ruang hampa. Para penjahat siber sengaja memilih penyedia hosting tertentu yang dikenal sebagai Bulletproof Hosting.
Penyedia jasa ini biasanya beroperasi di wilayah hukum yang longgar, secara sadar mendukung operasi siber ilegal, dan sering kali mengabaikan permintaan penghapusan (takedown requests) dari otoritas hukum atau perusahaan keamanan.
Beberapa nama penyedia jasa yang masuk dalam pengawasan ketat karena sering digunakan untuk menghosting VM berbahaya ini antara lain:
- Stark Industries Solutions Ltd.
- Zomro B.V.
- MasterRDP.
Penyedia jasa seperti MasterRDP bahkan menawarkan layanan VPS dan RDP (Remote Desktop Protocol) yang secara eksplisit dirancang untuk menghindari deteksi dan tidak patuh terhadap permintaan hukum.
|
Baca juga: Qilin Evolusi Ancaman Siber Lintas Platform |
Daftar Hitam Operator yang Terlibat
Yang membuat temuan ini sangat mengkhawatirkan adalah daftar kelompok ransomware dan malware yang menggunakan taktik ini. Infrastruktur VMmanager ditemukan dalam aktivitas:
- Grup Ransomware Elit: LockBit, Qilin, Conti, BlackCat/ALPHV, dan Ursnif.
- Pencuri Informasi (Infostealers): RedLine dan Lumma, yang fokus pada pencurian kredensial perbankan dan data pribadi.
- Insiden ‘WantToCry’: Serangan ransomware terbaru yang memicu penyelidikan mendalam ini.
Data telemetri menunjukkan bahwa empat hostname paling populer dari ISPsystem mencakup lebih dari 95% dari total VM ISPsystem yang menghadap ke internet.
Fakta bahwa hampir semua nama tersebut terkait dengan aktivitas kriminal menunjukkan betapa masifnya penyalahgunaan ini.
Langkah Menuju Randomisasi
Menanggapi laporan dari para peneliti, tim pengembang ISPsystem akhirnya mengambil langkah tegas, per 6 Februari 2026.
Mereka secara resmi merilis pembaruan untuk template Windows mereka. Dalam sistem yang baru, setiap kali VM diluncurkan, nama hostname akan dibuat secara acak (randomized).
Langkah ini menghilangkan kemungkinan tumpang tindih identitas teknis dan secara langsung menutup celah “kamuflase identitas” yang selama ini dinikmati oleh peretas.
Meskipun langkah ini sangat diapresiasi, para pakar keamanan mengingatkan bahwa infrastruktur yang sudah terlanjur berjalan (lama) mungkin masih menggunakan identitas lama dan tetap berbahaya.
Sumber berita:
