调查勒索软件团伙使用的匿名 VPS 服务

调查网络犯罪的挑战之一是攻击者用来发动攻击的基础设施。过去 25 年来，网络犯罪基础设施发生了巨大变化，现在涉及劫持 Web 服务、内容分发网络 (CDN)、住宅代理、快速通量 DNS、域生成算法 (DGA)、物联网设备僵尸网络、Tor 网络以及各种嵌套服务。

本博客将调查一家名为 BitLaunch 的英国小型托管服务提供商，以此为例说明打击网络犯罪基础设施的难度。对该托管服务提供商的研究表明，多年来，网络犯罪分子似乎一直使用 BitLaunch 通过其匿名 VPS服务托管命令和控制 (C2) 服务器。

BitLaunch 服务上托管的 CobaltStrike C2 服务器数量逐年增长，这可能表明攻击者通过廉价快速地采购 VPS 与网络犯罪分子进行默契勾结，这些 VPS 最终用于对各种受害者（包括医院、学校、政府、公司和慈善机构）发动勒索软件攻击。

法律中协助和教唆犯罪活动的概念本质上是指个人或组织故意协助、便利或鼓励犯罪。在这种情况下，这将是协助和教唆建立网络犯罪基础设施。如果托管服务提供商忽略明显的危险信号（例如，来自已知非法来源的加密货币付款或使用服务器进行非法活动），他们仍可能根据某些法律因故意视而不见而承担刑事责任。

过去，英国当局曾取缔过明知故犯地支持网络犯罪的防弹托管 (BPH) 提供商，例如 CyberBunker 和 LolekHost。2025 年 2 月，英国政府还制裁了 俄罗斯的 BPH，即 ZSERVERS（又名 XHOST），原因是该公司协助实施 LockBit 攻击。

该博客的播客版本可在此处获取https://www.youtube.com/watch?v=xX25GPYYr98

BitLaunch 又名 BL Networks 又名 BLNWX 是谁？

BitLaunch（也称为 BL Networks 或 BLNWX）自 2017 年以来一直活跃，是一家虚拟专用服务器 (VPS) 经销商，其自治系统编号 (ASN) 为AS399629 。BitLaunch拥有多达 48 个 IPv4 网络，用于“立即启动 Linux 或 Windows VPS”，客户可以“按小时使用比特币、莱特币和以太坊付款，无需做出任何承诺”。BitLaunch 还通过命令行 (CLI) 工具和Python 库为客户提供支持。BitLaunch 还有另一个名字，但在法律条款和条件中， 他们使用 Liber Systems 并拥有自己独立的网站。

为什么要关注 BitLaunch？

BitLaunch 非常有趣，因为他们自称是一家由两名英国当地商人经营的英国公司。他们的“匿名比特币 VPS”服务经常被滥用于各种网络犯罪活动。引发这项研究的原因是，他们的昵称“BLNWX”经常出现在网络威胁情报 (CTI) 供应商关于勒索软件和其他网络犯罪活动的报告中。 还值得一提的是，虽然 BitLaunch 拥有自己的 IP 网络，但他们也是一家 VPS 经销商，与 DigitalOcean、Linode 和 Vultr 合作，如下面的网站所示。

一家评论所谓“离岸服务”的网站 (offshore[.]cat) 将 BitLaunch 列为一家“经过验证”的离岸托管商，接受加密货币，只需确认电子邮件请求即可开设账户，并被描述为允许任何人“使用加密货币在几秒钟内创建 VPS”，使其成为网络犯罪分子眼中极具吸引力的托管商。他们的服务与 CLI 工具和 Python 库相结合，可以非常轻松地快速建立 C2 服务器。

BLNWX 上的命令和控制 (C2) 基础设施

在 BitLaunch 上发现了大量 CobaltStrike C2 以及其他黑客工具和恶意软件系列。我要感谢X/Twitter 上的C2IntelFeedsBot (@drb_ra) 帐户的所有者，他们提供了在 BitLaunch 上发现的 C2 服务器信息，为这项研究提供了帮助。

下图显示了 2021 年至 2025 年期间 BitLaunch 托管的已知 C2 服务器样本。该图最引人注目的部分是 CobaltStrike C2 服务器的数量。Cobalt Strike 是一个众所周知的 C2 框架，有组织的网络犯罪团体使用它来发起勒索软件攻击。它也受到国家支持的威胁团体的青睐。

在过去几年中，C2IntelFeedsBot 已经发现了数十台 C2 服务器，而且随着越来越多的网络犯罪分子将 BitLaunch 视为支持其勒索软件活动的首选服务，C2 的数量每年都在持续增长。

下图显示了“2021-06-26 12:33:41”和“2025-02-05 18:46:10”之间计算的总数。这绝不是一个完整的图景，但这些可独立验证的数据可以很好地说明网络犯罪分子使用 BitLaunch 的速度，自 2022 年以来，每年都呈上升趋势。

CobaltStrike 的有趣之处之一是它是一款商业攻击性安全工具 (OST)。它通过许可证颁发给合法客户，许可证上带有独特的水印。虽然多年来 CobaltStrike 出现了多个破解版本，但可以通过他们对相同 CobaltStrike 版本的使用情况来追踪某些团体。

下图显示了从 BitLaunch 收集的 CobaltStrike 水印分布情况。值得注意的是，“0” 是最常见的。在分析 CobaltStrike 水印时经常会出现这种情况，因为这意味着它是破解版本。

OSINT 收集和对 CobaltStrike 水印的分析揭示了与使用 BitLaunch 的几个知名网络犯罪团伙的潜在联系，这些犯罪团伙有进行勒索软件攻击的历史：

1. “426352781” – 此水印由ShadowSyndicate使用，ShadowSyndicate 是 Group-IB 跟踪的一个勒索软件附属组织，与多个勒索软件即服务 (Raas) 平台相连。此水印在历史上也与 Qakbot 恶意软件僵尸网络投放的 CobaltStrike Beacons有关 。

2. “206546002”—— ShadowSyndicate 、Blister Loader、PLAY 勒索软件和FIN7 链接 勒索软件运营商也使用了该水印。

3. “1580103824” – 此水印 与归因于CL0P 勒索软件的Cleo 漏洞利用活动有关。CERT-UA跟踪的威胁组织 UAC-0056 也 使用了此水印。

4. ”987654321”——该水印之前曾 与 IcedID 恶意软件僵尸网络和 Dagon Locker 勒索软件团伙有关。

5. ”1359593325” – CobaltStrike Beacons 在俄罗斯对外情报局 (SVR)发起的活动中曾使用过此水印

6. “391144938” 和 “305419896” – 这些水印被归因于SentinelOne、 Recorded Future、Zscaler和Cisco Talos追踪的多个中国网络间谍活动。

CTI 供应商将 BLNWX 上的 C2 归咎于勒索软件团伙

过去几年中，有许多 CTI 报告直接引用 BitLaunch Networks (BLNWX) IP 地址作为高调勒索软件活动的一部分的入侵指标 (IOC)。

其中包括针对 思科的 Yanluowang 勒索软件攻击、与 FIN6（与勒索软件活动有关）使用的 JavaScript more_eggs 后门链接的C2 、十几个归因于Rhysida 勒索软件攻击的 IP、跟踪为TAG-124 的Rhysida 和 Interlock 勒索软件前兆活动，以及涉及 LockBit 和 CL0P 的PaperCut 漏洞利用活动。

其他值得注意的 CTI 警报也提到了 BLNWX，包括Proofpoint 发布的有关勒索软件前兆活动Latrodectus的报告；Intel471 发布的有关Scattered Spider发起的以 Okta 为主题的网络钓鱼活动（该组织曾发动过 ALPHV/BlackCat 和 RansomHub 攻击）；QuadrantSec 发布的用于支持 BlackBasta 勒索软件团伙的基础设施，以及勒索软件团伙用于初始访问的IcedID 恶意软件僵尸网络的 C2 服务器。

BitLaunch 的评估

根据英国公司注册局的数据，截至 2025 年 2 月，BitLaunch 的母公司 Liber Systems Limited 由两名英国董事经营。虽然他们从这项匿名 VPS 服务中获利，但他们并没有采取适当措施防止他们的服务被勒索软件和恶意软件团伙利用。有组织的网络犯罪集团显然已经发现并认识到 BitLaunch 的这一点，并正在利用这项廉价、接受加密货币且不会提出太多问题的服务。

公平地说，BitLaunch 似乎对删除操作反应迅速，Offshore[.]cat 指出他们正在执行 DMCA 请求。但问题的关键在于，网络犯罪分子可以使用他们的服务快速启动 C2 实例几个小时，然后再次将其丢弃。这意味着通常不需要提交删除操作，因为网络犯罪分子已经放弃了 C2，可以启动另一个。因此，网络犯罪分子可以不受干扰地持续利用 BitLaunch。

作为一名安全研究员，而不是一名警察，我无法评论 BitLaunch 与警方的合作程度，而且根据他们的部分客户情况，BitLaunch 可能也不想向他们的客户宣传这一点。

对于 BitLaunch 的两位董事来说，这笔交易对他们来说非常划算。他们可以通过加密货币从网络犯罪分子那里获取资金，同时通过协助执法部门的取缔请求，表现出道德和合规性。目前，他们似乎在帮助犯罪分子和警察，而且多年来一直逍遥法外。

BitLaunch 在首页广告中重点强调了按小时支付 VPS 使用费，并且客户可以使用“匿名加密货币”支付。在我看来，以及我与之讨论过此事的其他网络安全研究人员（包括红队成员和渗透测试人员）认为，这项服务非常适合 C2 服务器，几乎不适合其他合法服务器。

匿名 VPS 的更大问题

在 BitLaunch 的博客中，他们表示他们相信互联网应该是“开放、自由、不受任何单一政府或机构干涉的”，并补充说他们接受加密货币是因为“一些国家的公民没有银行账户，可以使用比特币”，因为当地银行可以控制其公民可以向谁汇款。他们的博客还表示，他们认为互联网用户应该被允许运行自己的虚拟专用网络 (VPN)，以防监视和保护隐私。他们还提供了许多关于如何为此目的配置私人 VPN 的指南。虽然这是一项合法的服务，在特定情况下对某些人有用，但被勒索软件团伙滥用的情况需要改变。

出售匿名 VPS 的问题并非仅存在于这家公司。BitLaunch 显然是一家小公司，积极打击网络犯罪分子在其服务上注册 VPS 对任何托管商来说都是一项昂贵且多方面的挑战，其中包括防止滥用，同时保护客户的隐私。

BitLaunch 等托管商可以使用 Shodan、Abuse.ch、GreyNoise、OTX Alienvault 和 AbuseIPDB 等服务来检查其 IP 地址是否被滥用。托管商试图解决此问题的一个有趣例子是 PQ Hosting（又名 Stark Industries Solutions）在其博客上公开宣布他们已与 Netflow 安全情报公司 Team Cymru 合作。 或者，托管商可以使用 Chainalysis、TRM Labs 或 Arkham Intelligence 等区块链分析平台来追踪来自已知非法钱包集群的加密货币支付。

然而，总会有一些威胁从网络中溜走。 对于没有资金投入网络可观察性工具或 CTI 平台的小型托管商来说，这无疑是一项艰巨的挑战。即使是一些世界上最大的托管商，如 Cloudflare，也面临同样的困境，最终其服务被滥用于网络犯罪活动。

匿名 VPS 问题可以与其他行业的问题进行比较，例如被盗资金被用于购买礼品卡或游戏密钥，然后转售用于洗钱。另一个经常被滥用于各种诈骗和网络钓鱼活动的平台是 Gmail。谷歌是否故意忽视其平台上发生的网络犯罪？这个问题我将留给读者自己决定。

总体而言，这类问题类似于酒店为客人提供房间，而有组织的犯罪分子租用这些房间，在里面实施各种犯罪。归根结底，违法的是犯罪分子，而不是酒店，但如果旁观者和执法人员不断提醒酒店这些活动，他们就有义务尽最大努力制止这种活动。

在 BitLaunch 的这种情况下，英国可以通过三种潜在方式帮助阻止这些小型托管商被网络犯罪分子利用。

首先，网络安全和托管行业可以通过英国计算机学会（BCS）等机构发起一项倡议，努力说服托管服务提供商，执法机构调查的麻烦、制裁或被捕的机会不值得将 C2 服务器出售给网络犯罪分子所获得的资金。

其次，由于 BitLaunch（或 Liber Systems）在此注册，英国政府科学、创新和技术部 (DSIT) 可以与他们和其他小型托管商合作，规范该行业并为这些企业提供支持，警告他们提供不受监管的 VPS 服务的危险，并告知他们他们如何导致勒索软件攻击对英国和其他地方造成的损害。

第三，向托管商提供免费的网络可观测性服务还可以帮助他们在 C2 服务器被用作武器攻击受害者之前主动关闭它们。所有英国托管商都可以注册英国政府提供的免费服务 MyNCSC ，该服务由隶属于英国政府通信总部 (GCHQ) 的英国国家网络安全中心 (NCSC) 提供。当 MyNCSC 检测到哪些 IP 被标记为托管 C2 服务器（例如 CobaltStrike）时，托管商将收到警报。

由于英国政府的使命 是“使英国成为世界上最安全的生活和工作的地方”，因此解决这些支持勒索软件的英国托管商的问题也应该是其中的优先事项之一。

攻击指标

历史恶意 BLNWX IP 地址如下：

• https://www.virustotal.com/gui/collection/275b81bcec9bdd14ea2908f340343fef1f99ee2dfe9a8bc99761d409c8676013/iocs

• https://otx.alienvault.com/pulse/67af7c32be1268271aad22e7/

原文始发于微信公众号（Ots安全）：调查勒索软件团伙使用的匿名 VPS 服务