Hosting “a prova di proiettile”? Gli USA colpiscono ZServers e i suoi legami con LockBit!
Gli Stati Uniti, l’Australia e il Regno Unito hanno imposto sanzioni al fornitore di hosting “a prova di proiettile” Zservers. Le autorità ritengono che l’azienda abbia fornito l’infrastruttura per gli attacchi del gruppo ransomware LockBit.
Nell’elenco delle sanzioni figurano anche i cittadini russi Alexander Igorevich Mishin e Alexander Sergeevich Bolshakov, che avrebbero partecipato alla gestione delle transazioni in criptovaluta per Lockbit e supportato gli attacchi del gruppo.
Zservers l’hosting a “prova di proiettile” sanzionato
L’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha segnalato che nel 2022, durante un raid presso uno degli operatori di LockBit, le autorità canadesi hanno trovato un laptop con una macchina virtuale collegata all’indirizzo IP di Zservers, che eseguiva il pannello di controllo del malware LockBit.
Nel 2022, l’hacker avrebbe acquistato da Zservers indirizzi IP che sarebbero stati probabilmente utilizzati dai server del backend di LockBit per coordinare le attività ransomware e, nel 2023, Zservers ha fornito ai partner di LockBit l’infrastruttura necessaria, tra cui un indirizzo IP russo.
“Gli sviluppatori di ransomware e altri criminali informatici si affidano a fornitori di servizi di rete di terze parti come Zservers per portare a termine attacchi alle infrastrutture critiche negli Stati Uniti e in altri paesi”, ha affermato Bradley T. Smith, sottosegretario facente funzione del Tesoro per il terrorismo e l’intelligence finanziaria.
“Definire questi provider di hosting “a prova di proiettile” è un falso stratagemma di marketing”. I criminali informatici credono che questi provider li proteggano in modo affidabile, “ma un attacco potente da parte delle autorità può esporre e disabilitare l’intera infrastruttura”, ha aggiunto Richard Chin, vice commissario della polizia federale australiana.
Una rete di server ed impiegati supporto di LockBit
Il Foreign, Commonwealth and Development Office del Regno Unito ha inoltre imposto sanzioni a XHOST Internet Solutions LP, alla società Zservers con sede nel Regno Unito e a quattro dei suoi dipendenti (Ilya Sidorov, Dmitry Bolshakov, Igor Odintsov e Vladimir Ananev), anch’essi collegati al supporto degli attacchi LockBit.
A seguito dell’introduzione delle sanzioni, alle organizzazioni e ai cittadini degli Stati Uniti, dell’Australia e del Regno Unito è vietato effettuare transazioni con gli individui e le società specificati. Tutti i beni a loro associati saranno congelati e anche gli istituti finanziari e le entità straniere coinvolte in transazioni con loro potrebbero essere soggetti a sanzioni.
Il gruppo LockBit è attivo dal 2019 e da allora è stato collegato ad attacchi di alto profilo a molte organizzazioni note in tutto il mondo, tra cui Bank of America , Boeing , il colosso automobilistico Continental , la catena di fast food Subway, e molto altro ancora.
Nel febbraio 2024, le forze dell’ordine di dieci paesi in tutto il mondo hanno condotto l’operazione Cronos , durante la quale hanno hackerato l’infrastruttura del gruppo e sono riusciti a ottenere molti dati sugli hacker, sui loro partner e sul malware stesso.
Seguirono numerosi arresti di membri e partner del gruppo e la deanonimizzazione del suo amministratore , noto online con il soprannome LockBitSupp. Gli investigatori americani sostengono che questo pseudonimo sia utilizzato dal cittadino russo Dmitry Yuryevich Khoroshev.
Le vittime di LockBit in Italia
Lockbit, ha già colpito numerose organizzazioni sia pubbliche che private in Italia, in tutte e tre le varianti ransomware rilevate.
Facendo riferimento alle organizzazioni private delle quali abbiamo parlato su Red Hot Cyber troviamo:
- La clinica fisioterapica italiana Don Serafino
- Studio Barba
- MWD Digital
- Alpa
- Multinazionale FAAC
- Datalit
- Vainieri
- Firbarcaiolo
- Venegoni
- SG Service Sud
- Eredi Riva
- Multimmobiliare Ticino
- Ingesw
- Jannone
- Il giallo della Farmacia statuto (Errore di target)
- Rosa Group
- Progetto Edile
- Guzzanti
- Crich
- Confindustria Caserta
- ISMEA
- Montanari
- Matteoli
- IDM
- Torello
- Isnardi
- La Ponte Marmi
- MCS
- Delta Leading Broker
- Mecfond
- Cilento Spa
- Selini Group
Invece per quanto concerne le azienda pubbliche abbiamo:
- ASP Messina
- Comune di Villafranca
- Agenzia Nazionale Turismo
- ULSS6 di Padova
- Comune di Gonzaga
- Comune di Gorizia
L'articolo Hosting “a prova di proiettile”? Gli USA colpiscono ZServers e i suoi legami con LockBit! proviene da il blog della sicurezza informatica.
Gazzetta del Cadavere reshared this.