Cyberkriminelle missbrauchen verstärkt virtuelle Maschinen auf legitimen Hosting-Infrastrukturen. Sophos-Analysen zeigen, dass identische Hostnamen, wie „WIN-J9D866ESIJ2“, mit Ransomware-Operationen in Verbindung stehen. Diese Infrastruktur bietet Cyberkriminellen strategische Vorteile.
Cyberkriminelle missbrauchen laut Sophos virtuelle Maschinen in legitimen Hosting-Infrastrukturen, nutzen identische Hostnamen und automatisierte Angriffe über RDP, während sie Verbindungen zu verdächtigen Hosting-Anbietern aufweisen.
Sophos zufolge missbrauchen Cyberkriminelle tausende virtuelle Maschinen (VMs) auf legitimen Hosting-Infrastrukturen, insbesondere in Russland. Aufgrund ihrer hohen Leistung würden auch Hosting-Infrastrukturen in den Niederlanden und in Deutschland häufiger zum Ziel.
Die Counter Threat Unit von Sophos untersuchte Ende 2025 mehrere Ransomware-Vorfälle im Zusammenhang mit der Malware „WantToCry“. In allen analysierten Fällen hätten die Angreifer virtuelle Maschinen mit automatisch generierten „NetBIOS“-Hostnamen genutzt, die aus Windows-Templates des legitimen Infrastrukturmanagement-Anbieters ISPsystem gestammt hätten. Die Forscher nahmen diese Beobachtung zum Anlass, Umfang und Hintergründe des Missbrauchs dieser Infrastruktur näher zu untersuchen und kamen zu dem Ergebnis, dass zahlreiche öffentlich erreichbare Systeme mit diesen Hostnamen mit Cybercrime-Aktivitäten in Verbindung stehen würden. Dazu würden Ransomware-Operationen zählen, der Einsatz von Remote-Access-Trojanern (RAT) sowie die Verbreitung gängiger Malware. Besonders auffällig seien die Hostnamen „WIN-J9D866ESIJ2“ und „WIN-LIVFRVQFMKO“ gewesen, die nicht nur in WantToCry-Angriffen aufgetaucht seien, sondern auch in Kampagnen mit „LockBit“-, „Qilin“- und „BlackCat“-Ransomware sowie beim Einsatz des „NetSupport“-RAT.
Bereits 2021 ist ein System mit dem Hostnamen „WIN-LIVFRVQFMKO“ für den Zugang zu internen Chats bekannter Cybercrime-Gruppierungen genutzt worden. Diese Chats wurden im Rahmen der sogenannten „ContiLeaks“ öffentlich. In den darauffolgenden Jahren tauchte derselbe Hostname unter anderem bei einer „Ursnif“-Kampagne gegen italienische Organisationen sowie bei der Ausnutzung einer Schwachstelle in FortiClient Enterprise Management Server (EMS) auf.
Eine Auswertung mit der Suchmaschine „Shodan“ habe gezeigt, dass diese Hostnamen nicht einzelnen Systemen oder Akteuren zugeordnet werden konnten. Im Dezember 2025 seien mehrere tausend internetexponierte Systeme mit identischen Hostnamen aktiv gewesen, die unter anderem Remote-Desktop-Protocol-Dienste (RDP) angeboten hätten. Der Großteil dieser Systeme habe sich basierend auf der zugehörigen IP-Adresse in Russland befunden, die zweitmeisten in Deutschland und die drittmeisten hätten sich in den Niederlande befunden. Sophos geht davon aus, dass die beiden westeuropäischen Länder vermutlich sehr weit oben rangieren, da sie aufgrund ihrer strategisch zentralen Lage, ihrer sehr guten Anbindung über große Internetknotenpunkte, der Knotenpunkte Amsterdam Internet Exchange (AMS-IX) und Deutscher Commercial Internet Exchange (DE-CIX), ihrer strengen, DSGVO-konformen Datenschutzgesetze und ihrer robusten, nachhaltigen Infrastruktur führende europäische Hosting-Zentren sind und für hohe Geschwindigkeiten und geringe Latenzzeiten stehen.
Die Analysten gehen zwar davon aus, dass ein Teil dieser Systeme legitim genutzt wird, doch weitere Daten würden auf enge Verbindungen zwischen bestimmten Hosting-Anbietern und cyberkriminellen beziehungsweise staatlich unterstützten Aktivitäten hindeuten. Die beiden Anbieter Stark Industries Solutions Ltd und First Server Limited seien dabei besonders hervor getreten. Gegen Stark Industries Solutions Ltd verhängte der Europäische Rat im Mai 2025 restriktive Maßnahmen wegen der Unterstützung russischer staatlicher und staatsnaher Akteure. First Server Limited werde laut Drittanalysen mit der russischen Desinformationskampagne „Doppelganger“ in Verbindung gebracht.
Nicht-randomisierte Windows-Templates als technische Ursache
Als technische Erklärung für die häufige Verwendung identischer Hostnamen erklärt Sophos so: Sie würden aus weit verbreiteten Windows-Server-Images stammen, die über die Virtualisierungsplattform ISPsystem VMmanager bereitgestellt würden. Der ISPsystem VMmanager selbst sei eine legitime und weit verbreitete Virtualisierungsplattform und nicht bösartig. Niedrige Kosten, einfache Bereitstellung und standardisierte Templates würden die Lösung allerdings auch attraktiv für Cyberkriminelle machen, da die große Zahl legitimer Nutzer als Tarnung für missbräuchliche Aktivitäten diene.
Die Forscher hätten in Tests bestätigen können, dass diese Templates Hostnamen und Zertifikate enthalten, die bei der Bereitstellung nicht randomisiert würden. Besonders häufig seien sogenannte KMS-aktivierte (Key Management Service) Images eingesetzt worden, die einen zeitlich begrenzten, lizenzfreien Betrieb ermöglichen würden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Alle vier am häufigsten verwendeten Hostnamen, die insgesamt über 95 Prozent der öffentlich erreichbaren ISPsystem-VMs ausmachen würden, seien mit kriminellen Aktivitäten in Verbindung gebracht worden. Darüber hinaus hätten die Forscher in Untergrundforen und auf Telegram zahlreiche Hinweise auf Bulletproof-Hosting-Anbieter gefunden, die gezielt solche Infrastruktur vermarkten würden. Besonders häufig sei der Anbieter MasterRDP, auch bekannt als „rdp.monster“ genannt worden, der offenbar eigene, missbrauchstolerante Hosting-Infrastruktur betreibe.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/05/6b057f7347f9d5c97d474ade1d7b8a1f/0129674349v2.jpeg "Cyberkriminelle missbrauchen laut Sophos virtuelle Maschinen in legitimen Hosting-Infrastrukturen, nutzen identische Hostnamen und automatisierte Angriffe über RDP, während sie Verbindungen zu verdächtigen Hosting-Anbietern aufweisen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/17/9d/179dd778eea92469d222147b93062a79/0130236682v1.jpeg "Ransomware dient staatlich unterstützten Akteuren zunehmend für Spionage und Destabilisierung. Verschlüsselung wird oft nur noch zur Tarnung eingesetzt. (Bild: © concept w - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/cb/4bcb6d92bb8158bc9441217d9cf3e352/0130342511v2.jpeg "In Thüringen, Rheinland-Pfalz und Schleswig-Holstein hat die Polizei PTC-Kunden aufgrund einer Sicherheitslücke Hausbesuche abgestattet. (Bild: © Lila Patel - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/6f/c26f8917d9577d3647ac2b27106397d3/0130217833v2.jpeg "Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungeschützt. SAP-Systeme, das Herzstück kritischer Geschäftsprozesse, werden bei Penetrationstests häufig übersehen – ein fatales Versäumnis, das Angreifern Tür und Tor öffnet. (Bild: © YOGI C - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/ff/4fff5b549d403858f33d560c8c8f40dc/0130169139v2.jpeg "Der Vorsitz für die AdCo CRA wurde Anna Schwendicke am 19. März in Athen übertragen. Hier zu sehen sind (v.l.n.r): Tommaso Bernabo (DG Connect), Perit Kirkmann-Raave (ENISA), Maika Fohrenbach (DG Connect), Xenia Kyriakidou (Digital Security Authority Zypern - Vice-Chair AdCo CRA), Anna Schwendicke (BSI - Chair AdCo CRA), Luis Miguel Vega Fidalgo (DG Connect), Razvan Gavrila (ENISA). (Bild: ENISA)")
:quality(80)/p7i.vogel.de/wcms/83/12/8312bf00e110a5f83e9044d3530cee45/0130131441v1.jpeg "Schwachstellen in KI-Systemen nehmen schneller zu als im restlichen Software-Ökosystem, besonders in neuen Architekturen wie agentischer KI. (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/84/1c/841c9f1c9ed65f5abb2cf89723d5084a/0130219449v2.jpeg "Quantencomputer können asymmetrische Verschlüsselung knacken. Post-Quanten-Kryptografie bietet Schutz mit NIST-Standards wie ML-KEM, ML-DSA und SLH-DSA. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/cf/4fcffe96d0f8532cf9672e943e5a7f2d/0130150503v2.jpeg "Node.js-Projekte sind durch kritische Schwachstellen gefährdet, die zu Denial-of-Service-Angriffen führen können. Dies bedeutet, dass Angreifer die Verfügbarkeit der Systeme beeinträchtigen und die Leistung durch gezielte Ressourcennutzung überlasten können. Davon ist auch die Lösung IBM App Connect Enterprise betroffen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/fd/6afdae64b3156714ffcc6afd73d977c4/0130023020v2.jpeg "NIST-Standards FIPS 206 und FIPS 207 bringen quantensichere Signaturen und Schlüsselaustausch bis 2027 in Trusted Execution Environments und Confidential Computing. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/8f/e78f122fe24962e7b247f2b3cbb2b70f/0130172239v2.jpeg "Der Konflikt im Nahen Osten hat zu einer Zunahme von Cyberspionage-Kampagnen geführt, die von iranischen, chinesischen, belarussischen und pakistanischen Gruppen ausgehen, während der Verfassungsschutz seine Befugnisse zur Bekämpfung dieser digitalen Bedrohungen erweitern will. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/54/60/54604dd9ae65674f94a61c1744bc2b40/0129673001v2.jpeg "Die Hackergruppe UNC6201 hat seit 2024 eine kritische Sicherheitslücke in Dell RecoverPoint for Virtual Machines ausgenutzt, die durch fest codierte Anmeldeinformationen ermöglicht wird, und dabei Backdoors wie Slaystyle und Grimbolt verbreitet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/35/0b351e4456cef1fa7cc7ceec3e29e83c/0122675643v2.jpeg "Salt Typhoon ist weltweit aktiv, äußerst aggressiv und geschickt darin, lange unentdeckt zu bleiben. (Bild: 2ragon – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/73/d1739e199baa3bcbaeb1779fbdbf8786/0124730338v1.jpeg "Angriffe mit Ransomware entwickeln sich technisch und taktisch rasant weiter. Der aktuelle Bericht von Unit 42, dem Threat-Intelligence-Team von Palo Alto Networks, analysiert die wichtigsten Entwicklungen im ersten Quartal 2025. (Bild: © concept w - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/b4/55b41489ebeff025c87cfd4df08fa347/0101404402v2.jpeg "Mit diesen 10 Tipps lassen sich virtuelle Maschinen (VMs) in Microsoft Azure sicherer betreiben. (©greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/39/0a39b54bbc55cdc87f133e6c2a26df6b/0117012949.jpeg "In diesem Video-Tipp zeigen wir, welche Einstellungen Hyper-V-VMs in Windows Server 2019/2022 deutlich sicherer machen. (Bild: RAVI - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/55/525590fa3a82d36ed9e559a148a2ac65/0126744649v2.jpeg "Der Synology Virtual Machine Manager erlaubt nicht nur den Betrieb von VMs, sondern bietet mit Snapshots, Replikation und HA auch zentrale Sicherheitsfunktionen. (Bild: © Eliane - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/31/b231ca800cc18d8b559561f0cfc46c29/0123961275v1.jpeg "Bitdefender Labs warnt vor „QWCrypt“ – einer neuen Ransomware,
mit der die Gruppe RedCurl virtuelle Maschinen angreift. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/39/7239c941c88fff91344f7f42e2fa2b24/0126236923v1.jpeg "Zero Days, Supply Chain Hacks und geopolitische DDoS-Kampagnen zeigen 2025 eine neue Dimension der Bedrohung. Unternehmen und Behörden geraten unter massiven Druck. Wer jetzt nicht aufrüstet riskiert den Anschluss im härtesten Security-Match des Jahres zu verlieren. (Bild: © metamorworks - stock.adobe.com)")