Abus de VM ISPsystem par des hébergeurs bulletproof pour des opérations de ransomware
Selon Sophos (blog, travaux SophosLabs et CTU), lâenquĂȘte part dâincidents de ransomware WantToCry fin 2025 oĂč des VMs affichaient des hostnames NetBIOS gĂ©nĂ©rĂ©s depuis des templates Windows fournis via la plateforme lĂ©gitime ISPsystem VMmanager. Les chercheurs ont Ă©tendu lâanalyse et reliĂ© ces hĂŽtes Ă de multiples opĂ©rations cybercriminelles, ainsi quâĂ lâĂ©cosystĂšme dâhĂ©bergement âbulletproofâ. Les hostnames rĂ©currents WIN-J9D866ESIJ2 et WIN-LIVFRVQFMKO ont Ă©tĂ© observĂ©s dans plusieurs incidents, liĂ©s notamment Ă des campagnes LockBit, Qilin, BlackCat (ALPHV), WantToCry, et Ă du NetSupport RAT. Un appareil nommĂ© WIN-LIVFRVQFMKO a aussi Ă©tĂ© vu dans des chats privĂ©s de Conti/TrickBot (âContiLeaksâ, 2022), dans une campagne Ursnif (Italie, 07/2023) et lors de lâexploitation dâune vulnĂ©rabilitĂ© FortiClient EMS (12/2024). Des recherches Shodan (19/12/2025) ont recensĂ© 3âŻ645 hĂŽtes exposant WIN-J9D866ESIJ2 et 7âŻ937 WIN-LIVFRVQFMKO, majoritairement en Russie, mais aussi dans la CEI, en Europe, aux ĂtatsâUnis, et quelques-uns en Iran. Les prestataires dominants incluent Stark Industries Solutions Ltd, First Server Limited, Zomro B.V., Partner Hosting LTD et JSC IOT; certains ont Ă©tĂ© reliĂ©s Ă des opĂ©rations parrainĂ©es par lâĂtat russe ou sanctionnĂ©s (UE, UK) pour activitĂ©s de dĂ©sinformation/dĂ©stabilisation. ...