根据Sophos 最新研究指出，当前活跃的勒索软体集团已不再自行架设实体或专属伺服器，而是大量租用价格低廉的虚拟机器（VM），藉此快速复制攻击基础架构，形成高度模组化、难以根除的犯罪网路。研究显示，即使部分伺服器遭到下架，仍会有数百甚至上千台「几??一模一样」的伺服器持续运作，使勒索行动得以不中断。

Sophos 分析师是根据调查多起 WantToCry 勒索软体事件时，发现一项关键线索：攻击者所使用的 Windows 伺服器，竟反覆出现完全相同、由系统自动产生的主机名称。这些主机名称横跨不同国家、不同攻击事件持续出现，显示背後并非零散个案，而是建立在高度标准化的虚拟化部署模式之上，实际规模可能涉及数千台犯罪伺服器。

研究归纳出重要发现：重复出现的虚拟机器主机名称，已成为追踪勒索软体基础架构的关键指纹。多家主机代管与云端平台，因预设命名规则或自动化部署流程，导致大量 VM 共用相同名称，进而被犯罪集团利用，掩护其恶意活动。其次，多数勒索相关流量集中於少数几家服务供应商，显示攻击活动具高度集中化特徵，其中部分供应商甚至被观察到与国家级资助行动或大型网路犯罪生态系有所关联。

三是最具争议的一点，在於所谓「防弹式托管（Bulletproof Hosting）」的滥用。研究点名 MasterRDP 等业者，长期出租虚拟机器给犯罪分子，即使接获滥用通报或执法单位通知，仍让相关伺服器持续运作，形同为勒索软体与恶意程式提供稳定的运行温床。

Sophos 指出，这类低成本、高复制性的云端犯罪模式，已大幅降低勒索软体集团的技术与资金门槛，也让传统「封锁单一伺服器即可瓦解攻击」的防御策略逐渐失效。对企业与政府而言，未来的防护重点不仅在端点与网路层，更需结合威胁情报、行为分析，以及对云端与主机代管供应链的治理与监管，才能真正削弱勒索软体背後的运作基础。