Os Estados Unidos, Austrália e Reino Unido impuseram sanções à Zservers, um provedor de serviços de hospedagem à prova de balas (bulletproof hosting - BPH) baseado na Rússia, por fornecer infraestrutura de ataque essencial para o grupo de ransomware LockBit.
Dois de seus principais administradores, os cidadãos russos Alexander Igorevich Mishin e Aleksandr Sergeyevich Bolshakov, também foram designados por seus papéis na direção das transações de moeda virtual do Lockbit e no apoio aos ataques do grupo.
O Escritório de Controle de Ativos Estrangeiros dos EUA (OFAC) informa que as autoridades canadenses descobriram um laptop operando uma máquina virtual ligada a um endereço IP subalugado da Zservers e executando um painel de controle de malware LockBit durante uma batida em 2022 em um afiliado conhecido do LockBit.
Em 2022, um hacker russo adquiriu endereços IP da Zservers, que foram provavelmente usados com servidores de bate-papo do LockBit para coordenar atividades de ransomware, enquanto, em 2023, a Zservers forneceu infraestrutura, incluindo um endereço IP russo, para um afiliado do LockBit.
"Atores de ransomware e outros cibercriminosos dependem de provedores de serviços de rede de terceiros como a Zservers para habilitar seus ataques à infraestrutura crítica dos EUA e internacional", disse Bradley T.
Smith, Subsecretário Interino do Tesouro para Terrorismo e Inteligência Financeira.
"Chamar esses provedores de hospedagem de ‘à prova de balas’ é um truque de marketing falso. Os cibercriminosos pensam que estão protegidos por esses provedores de serviço, no entanto, um golpe maciço das autoridades pode quebrar e interromper a infraestrutura", adicionou Richard Chin, Comissário Assistente da Polícia Federal Australiana.
"Provedores BPH como a ZSERVERS protegem e habilitam cibercriminosos, oferecendo uma gama de ferramentas compráveis que mascaram suas localizações, identidades e atividades. Visar esses provedores pode interromper centenas ou milhares de criminosos simultaneamente", declarou o governo do Reino Unido.
O Gabinete de Relações Exteriores, da Commonwealth e de Desenvolvimento do Reino Unido também impôs sanções à XHOST Internet Solutions LP, a empresa de fachada da Zservers no Reino Unido, e quatro funcionários—Ilya Sidorov, Dmitriy Bolshakov, Igor Odintsov e Vladimir Ananev—por apoiar ataques de ransomware do LockBit.
Seguindo essas sanções, organizações e cidadãos dos três países estão proibidos de realizar transações com os indivíduos e empresas designados.
Todos os ativos vinculados a eles também serão congelados, e instituições financeiras e entidades estrangeiras envolvidas em transações com eles também podem enfrentar penalidades.
As sanções de hoje seguem uma oferta de recompensa do Departamento de Estado de até $10 milhões por Dmitry Khoroshev, um administrador do ransomware LockBit, e recompensas de até $15 milhões para proprietários, operadores, administradores e afiliados do ransomware LockBit.
Em dezembro, o Departamento de Justiça dos EUA também acusou um duplo cidadão russo-israelense suspeito de desenvolver malware e gerenciar a infraestrutura para o ransomware LockBit.
Acusações e prisões anteriores de cibercriminosos ligados ao ransomware Lockbit incluem Mikhail Pavlovich Matveev (conhecido como Wazawaka) em maio de 2023, Artur Sungatov e Ivan Gennadievich Kondratiev (conhecido como Bassterlord) em fevereiro de 2024, e Dmitry Yuryevich Khoroshev (conhecido como LockBitSupp e putinkrab) em maio de 2024.
Em julho, os cidadãos russos Ruslan Magomedovich Astamirov e o canadense/russo Mikhail Vasiliev também admitiram participar de pelo menos uma dúzia de ataques de ransomware como afiliados do LockBit.
O Departamento de Justiça dos EUA e a Agência Nacional de Crimes do Reino Unido estimam que o LockBit extorquiu até $1 bilhão após mais de 7.000 ataques entre junho de 2022 e fevereiro de 2024.
LockBit surgiu há cinco anos, em setembro de 2019, e desde então reivindicou e foi ligado a ataques direcionados a muitas entidades de alto perfil em todo o mundo, incluindo Bank of America, Boeing, o gigante automotivo Continental, o Correio Real do Reino Unido e o Serviço Interno de Receita Italiano.
Em fevereiro de 2024, a Operação Cronos desativou a infraestrutura do LockBit e apreendeu 34 servidores que continham mais de 2.500 chaves de decodificação, posteriormente usadas para criar um decodificador gratuito de Ransomware LockBit 3.0 Black.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...