De Verenigde Staten, het Verenigd Koninkrijk en Australië hebben harde maatregelen genomen tegen Zservers, een Russisch hostingbedrijf dat cybercriminelen zoals de LockBit-ransomwaregroep zou faciliteren. Dit bedrijf bood volgens de autoriteiten schaduwrijke hostingdiensten aan waarmee hackers hun sporen konden wissen en aanvallen konden uitvoeren.

Wat is er aan de hand?

Zservers wordt door de Amerikaanse autoriteiten bestempeld als een zogeheten bulletproof hosting provider. Dat betekent dat het servers levert die moeilijk offline te halen zijn en vaak worden gebruikt voor illegale activiteiten, zoals ransomware-aanvallen. De sancties treffen niet alleen Zservers zelf, maar ook een Brits frontbedrijf, XHOST Internet Solutions LP, en zes personen die betrokken zouden zijn bij de operaties.

De Amerikaanse schatkist en het Britse ministerie van Buitenlandse Zaken hebben aangekondigd dat de tegoeden van Zservers en XHOST worden bevroren. Daarnaast krijgen zes betrokkenen, waaronder twee Russische beheerders van Zservers, een reisverbod en financiële beperkingen opgelegd.

LockBit en de rol van crypto

De LockBit-groep is een van de meest actieve ransomwaregroepen ter wereld en wordt in verband gebracht met miljarden dollars aan schade. Ze maken gebruik van malware die bestanden versleutelt en vervolgens losgeld eist in cryptovaluta. Bekende slachtoffers zijn onder andere de Australische verzekeraar Medibank en de Amerikaanse tak van de Chinese ICBC-bank.

Volgens blockchain-analysebedrijf Chainalysis zijn meerdere cryptowallets gelinkt aan Zservers en staan deze nu op de sanctielijst van het Amerikaanse Office of Foreign Assets Control (OFAC). Dit betekent dat Amerikaanse bedrijven en individuen geen zaken meer mogen doen met deze adressen.

Crypto en witwaspraktijken

Zservers werkte niet alleen samen met LockBit, maar bood volgens Chainalysis ook diensten aan andere cybercriminelen. Er werden miljoenen dollars aan cryptotransacties verwerkt, waarvan een groot deel terechtkwam bij Garantex, een Russische cryptobeurs die eerder werd gesanctioneerd wegens het faciliteren van witwaspraktijken.

Daarnaast blijkt Zservers connecties te hebben met Tornado Cash, een cryptomixer die in 2022 op de Amerikaanse sanctielijst werd geplaatst. Tornado Cash werd beschuldigd van het witwassen van meer dan $7 miljard aan cryptovaluta.

Internationale aanpak van ransomware

De autoriteiten van tien landen werken samen om ransomwaregroepen zoals LockBit aan te pakken. Sinds de opkomst van LockBit in 2019 zou de groep ruim 7.000 aanvallen hebben uitgevoerd en meer dan $1 miljard aan losgeld hebben geëist.

Zservers bood volgens hun eigen website servers aan in de VS, Rusland, Nederland, Finland en Bulgarije en leverde maatwerkoplossingen voor klanten. Maar met de huidige sancties hopen de autoriteiten een belangrijk deel van de criminele infrastructuur uit te schakelen.