Virtuelle Maschinen im Dienst der Cyberkriminalität

Forensische Untersuchungen von Sophos zeigen: Cyberkriminelle nutzen in großem Stil virtuelle Maschinen auf eigentlich seriösen Hosting-Infrastrukturen. Besonders häufig tauchen diese Aktivitäten in Russland auf – zunehmend aber auch in den Niederlanden und in Deutschland. Der Grund liegt vor allem in der leistungsfähigen, gut angebundenen Infrastruktur dieser Länder.

Ende 2025 untersuchte die Sophos Counter Threat Unit (CTU) mehrere Ransomware-Vorfälle im Zusammenhang mit der Gruppe WantToCry. In allen analysierten Fällen setzten die Angreifer virtuelle Maschinen ein, deren NetBIOS-Hostnamen automatisch generiert waren. Auffällig dabei: Diese Hostnamen stammten aus Windows-Templates des legitimen Infrastrukturmanagement-Anbieters ISPsystem.

Diese Beobachtung nahm Sophos zum Anlass, den Umfang und die Hintergründe dieses Infrastrukturmissbrauchs genauer zu analysieren. Das Ergebnis: Zahlreiche öffentlich erreichbare Systeme mit identischen Hostnamen standen im Zusammenhang mit Cybercrime-Aktivitäten. Dazu zählten Ransomware-Angriffe, der Einsatz von Remote-Access-Trojanern (RATs) sowie die Verbreitung gängiger Malware.

Besonders häufig fielen die Hostnamen WIN-J9D866ESIJ2 und WIN-LIVFRVQFMKO auf. Sie tauchten nicht nur bei WantToCry-Angriffen auf, sondern auch in Kampagnen mit LockBit, Qilin und BlackCat (ALPHV) sowie beim Einsatz des NetSupport RAT.

Dieselben Hostnamen – über Jahre hinweg

Ein Blick in die Vergangenheit zeigt, dass diese Hostnamen über Jahre hinweg immer wieder von unterschiedlichen Akteuren genutzt wurden. Bereits 2021 wurde ein System mit dem Hostnamen WIN-LIVFRVQFMKO verwendet, um auf interne Chats bekannter Cybercrime-Gruppen zuzugreifen. Diese Chats wurden später im Rahmen der sogenannten ContiLeaks öffentlich. In den folgenden Jahren tauchte derselbe Hostname unter anderem bei einer Ursnif-Kampagne gegen italienische Organisationen sowie bei der Ausnutzung einer Schwachstelle in FortiClient EMS erneut auf.

Eine Auswertung mit der Suchmaschine Shodan bestätigte, dass diese Hostnamen nicht einzelnen Systemen oder Akteuren zugeordnet werden können. Im Dezember 2025 waren mehrere tausend internetexponierte Systeme mit identischen Hostnamen aktiv, viele davon mit offenen RDP-Diensten.

Der Großteil dieser Systeme befand sich – basierend auf den IP-Adressen – in Russland. Auf Platz zwei und drei folgten Deutschland und die Niederlande. Dass beide Länder so weit oben rangieren, ist wenig überraschend: Sie gelten aufgrund ihrer zentralen Lage, ihrer exzellenten Anbindung an große Internetknotenpunkte wie AMS-IX und DE-CIX, ihrer strengen, DSGVO-konformen Datenschutzgesetze sowie ihrer stabilen und nachhaltigen Infrastruktur als führende europäische Hosting-Standorte mit hoher Performance und niedrigen Latenzzeiten.

Auffällige Hosting-Anbieter und mögliche staatliche Verbindungen

Zwar ist davon auszugehen, dass ein Teil dieser Systeme legitim genutzt wird. Weitere Erkenntnisse deuten jedoch auf problematische Verbindungen einzelner Hosting-Anbieter zu cyberkriminellen oder staatlich unterstützten Aktivitäten hin.

Besonders auffällig waren zwei Anbieter: Stark Industries Solutions Ltd und First Server Limited. Gegen Stark Industries Solutions Ltd verhängte der Europäische Rat im Mai 2025 Sanktionen wegen der Unterstützung russischer staatlicher und staatsnaher Akteure. First Server Limited wird laut externen Analysen mit der russischen Desinformationskampagne „Doppelganger“ in Verbindung gebracht.

Technischer Hintergrund: Windows-Templates ohne Randomisierung

Die Häufung identischer Hostnamen lässt sich technisch erklären. Sie stammen aus weit verbreiteten Windows-Server-Images, die über die Virtualisierungsplattform ISPsystem VMmanager bereitgestellt werden. Tests der Sophos CTU zeigten, dass diese Templates Hostnamen und Zertifikate enthalten, die bei der Bereitstellung nicht automatisch randomisiert werden. Besonders häufig kommen sogenannte KMS-aktivierte Images zum Einsatz, die einen zeitlich begrenzten, lizenzfreien Betrieb ermöglichen – ein attraktives Modell auch für Angreifer.

Alle vier am häufigsten verwendeten Hostnamen – sie machen mehr als 95 Prozent der öffentlich erreichbaren ISPsystem-VMs aus – konnten mit kriminellen Aktivitäten in Verbindung gebracht werden. Zusätzlich fanden die Forscher in Untergrundforen und auf Telegram zahlreiche Hinweise auf sogenannte Bulletproof-Hosting-Anbieter, die gezielt solche Infrastruktur vermarkten. Besonders häufig genannt wurde der Anbieter MasterRDP (auch bekannt als rdp.monster), der offenbar eine besonders missbrauchstolerante Hosting-Umgebung betreibt.

Legitime Technologie, missbräuchliche Nutzung

Der ISPsystem VMmanager selbst ist eine legitime und weit verbreitete Virtualisierungsplattform. Sie ist nicht bösartig. Niedrige Kosten, eine einfache Bereitstellung und standardisierte Templates machen die Lösung jedoch auch für Cyberkriminelle attraktiv. Die große Zahl legitimer Nutzer dient dabei als wirkungsvolle Tarnung für missbräuchliche Aktivitäten.