根據Sophos 最新研究指出，當前活躍的勒索軟體集團已不再自行架設實體或專屬伺服器，而是大量租用價格低廉的虛擬機器（VM），藉此快速複製攻擊基礎架構，形成高度模組化、難以根除的犯罪網路。研究顯示，即使部分伺服器遭到下架，仍會有數百甚至上千台「幾乎一模一樣」的伺服器持續運作，使勒索行動得以不中斷。

Sophos 分析師是根據調查多起 WantToCry 勒索軟體事件時，發現一項關鍵線索：攻擊者所使用的 Windows 伺服器，竟反覆出現完全相同、由系統自動產生的主機名稱。這些主機名稱橫跨不同國家、不同攻擊事件持續出現，顯示背後並非零散個案，而是建立在高度標準化的虛擬化部署模式之上，實際規模可能涉及數千台犯罪伺服器。

研究歸納出重要發現：重複出現的虛擬機器主機名稱，已成為追蹤勒索軟體基礎架構的關鍵指紋。多家主機代管與雲端平台，因預設命名規則或自動化部署流程，導致大量 VM 共用相同名稱，進而被犯罪集團利用，掩護其惡意活動。其次，多數勒索相關流量集中於少數幾家服務供應商，顯示攻擊活動具高度集中化特徵，其中部分供應商甚至被觀察到與國家級資助行動或大型網路犯罪生態系有所關聯。

三是最具爭議的一點，在於所謂「防彈式託管（Bulletproof Hosting）」的濫用。研究點名 MasterRDP 等業者，長期出租虛擬機器給犯罪分子，即使接獲濫用通報或執法單位通知，仍讓相關伺服器持續運作，形同為勒索軟體與惡意程式提供穩定的運行溫床。

Sophos 指出，這類低成本、高複製性的雲端犯罪模式，已大幅降低勒索軟體集團的技術與資金門檻，也讓傳統「封鎖單一伺服器即可瓦解攻擊」的防禦策略逐漸失效。對企業與政府而言，未來的防護重點不僅在端點與網路層，更需結合威脅情報、行為分析，以及對雲端與主機代管供應鏈的治理與監管，才能真正削弱勒索軟體背後的運作基礎。