Les États-Unis, l’Australie et le Royaume-Uni ont sanctionné Zservers, un fournisseur de services d’hébergement pare-balles (BPH) basé en Russie, pour avoir fourni une infrastructure d’attaque essentielle au gang de ransomwares LockBit.
Deux de ses principaux administrateurs, les ressortissants russes Alexander Igorevich Mishin et Aleksandr Sergeyevich Bolshakov, ont également été désignés pour leurs rôles dans la direction des transactions de monnaie virtuelle Lockbit et le soutien aux attaques du gang.
L’Office of Foreign Assets Control (OFAC) des États-Unis a déclaré que les autorités canadiennes avaient découvert un ordinateur portable exécutant une machine virtuelle liée à une adresse IP sous-louée par Zserver et exploitant un panneau de contrôle des logiciels malveillants LockBit lors d’un raid en 2022 sur une filiale connue de LockBit.
En 2022, un pirate informatique russe a acquis des adresses IP de Zservers, qui étaient probablement utilisées avec les serveurs de discussion LockBit pour coordonner les activités de ransomware, tandis qu’en 2023, Zservers a fourni une infrastructure, y compris une adresse IP russe, à une filiale de LockBit.
« Les acteurs des ransomwares et autres cybercriminels s’appuient sur des fournisseurs de services réseau tiers tels que Zservers pour permettre leurs attaques contre les infrastructures critiques américaines et internationales », a déclaré Bradley T. Smith, Sous-Secrétaire au Trésor par intérim pour le terrorisme et le Renseignement financier.
« Les fournisseurs de BPH comme ZSERVERS protègent et permettent aux cybercriminels, offrant une gamme d’outils achetables qui masquent leurs emplacements, identités et activités. Cibler ces fournisseurs peut perturber des centaines ou des milliers de criminels simultanément », a ajouté le gouvernement britannique.
Le Bureau britannique des Affaires étrangères, du Commonwealth et du développement a également sanctionné XHOST Internet Solutions LP, la société écran britannique de Zservers, et quatre employés-Ilya Sidorov, Dmitriy Bolshakov, Igor Odintsov et Vladimir Ananev-pour avoir soutenu les attaques de ransomware LockBit.
À la suite de ces sanctions, il est interdit aux organisations et aux citoyens des trois pays d’effectuer des transactions avec les personnes et entreprises désignées. Tous les actifs qui leur sont liés seront également gelés, et les institutions financières et les entités étrangères impliquées dans des transactions avec eux pourront également faire face à des sanctions.
Les sanctions d’aujourd’hui font suite à une offre de récompense du Département d’État allant jusqu’à 10 millions de dollars pour l’administrateur du ransomware LockBit Dmitry Khoroshev et des récompenses allant jusqu’à 15 millions de dollars pour les propriétaires, opérateurs, administrateurs et affiliés du ransomware LockBit.
Arrestations et accusations de Lockbits
En décembre, le département américain de la Justice a également inculpé un binational russo-israélien soupçonné d’avoir développé des logiciels malveillants et géré l’infrastructure du ransomware LockBit.
Les accusations et arrestations précédentes de cybercriminels liés au ransomware Lockbit incluent Mikhail Pavlovich Matveev (alias Wazawaka) en mai 2023, Artur Sungatov et Ivan Gennadievich Kondratiev (alias Bassterlord) en février 2024 et Dmitry Yuryevich Khoroshev (alias LockBitSupp et putinkrab) en mai 2024.
En juillet, les ressortissants russes Ruslan Magomedovich Astamirov et le ressortissant canadien/russe Mikhail Vasiliev ont également admis avoir participé à au moins une douzaine d’attaques de ransomware en tant qu’affiliés à LockBit.
Le département américain de la Justice et la National Crime Agency du Royaume-Uni estiment que LockBit a extorqué jusqu’à 1 milliard de dollars après plus de 7 000 attaques entre juin 2022 et février 2024.
LockBit a fait surface il y a cinq ans, en septembre 2019, et a depuis revendiqué et a été lié à des attaques ciblant de nombreuses entités de premier plan dans le monde entier, notamment Bank of America, Boeing, le géant Continental de l’automobile, la Royal Mail britannique et l’Internal Revenue Service italien.
En février 2024, l’opération Cronos a fermé l’infrastructure de LockBit et saisi 34 serveurs contenant plus de 2 500 clés de déchiffrement utilisées plus tard pour créer un décrypteur gratuit de Ransomware LockBit 3.0 Black.