Estados Unidos, Australia y el Reino Unido sancionaron al proveedor de servicios de hospedaje a prueba de balas (BPH, por sus siglas en inglés) ruso Zservers por proporcionar infraestructura de ataque esencial para la banda de ransomware LockBit.
Con sede en Rusia, dicho grupo es conocido por su variante de ransomware homónimo, una de las variantes más implementadas y que fue responsable del ataque de noviembre de 2023 contra el corredor de bolsa estadounidense Industrial Commercial Bank of China.
La Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés) de Estados Unidos señaló que las autoridades canadienses descubrieron durante una redada en 2022 una computadora portátil que ejecutaba una máquina virtual vinculada a una dirección IP subarrendada de Zservers y que operaba un panel de control de malware de LockBit.
Dicho año, un hacker ruso adquirió direcciones IP del proveedor BPH, que probablemente se utilizaron con servidores de chat de LockBit para coordinar actividades de ransomware, mientras que en 2023 Zservers proporcionó infraestructura, incluida una dirección IP rusa, a una filial de la banda.
El subsecretario interino del Tesoro para Terrorismo e Inteligencia financiera, Bradley T. Smith, dijo en un comunicado “los actores de ransomware y otros cibercriminales dependen de proveedores de servicios de red externos como Zservers para permitir sus ataques a infraestructuras críticas estadounidenses e internacionales”.
Dos de sus administradores principales, los ciudadanos rusos Alexander Igorevich Mishin y Aleksandr Sergeyevich Bolshakov, también fueron designados por su papel en la dirección de las transacciones de moneda virtual de Lockbit y el apoyo a los ataques de la banda.
Reino Unido sanciona empresa fachada de Zservers
El Ministerio de Asuntos Exteriores, de la Commonwealth y de Desarrollo de Gran Bretaña también sancionaron a Xhost Internet Solutions, la empresa fachada de Zservers en el Reino Unido, y a cuatro empleados (Ilya Sidorov, Dmitriy Bolshakov, Igor Odintsov y Vladimir Ananev) por apoyar los ataques.
El ministro de Estado para la Seguridad de Reino Unido, Dan Jarvis, afirmó en un comunicado que “los ataques de ransomware por parte de bandas de ciberdelincuentes afiliadas a Rusia son unas de las ciberamenazas más dañinas a las que nos enfrentamos hoy en día y el Gobierno está afrontándolas de frente”.
Los proveedores de BPH como Zservers protegen y habilitan a los cibercriminales, ofreciendo una gama de herramientas adquiribles que ocultan sus ubicaciones, identidades y actividades. Atacar a estos proveedores puede perturbar a cientos o miles de delincuentes simultáneamente.
Jarvis agregó que “negar a los ciberdelincuentes las herramientas de su oficio debilita su capacidad de causar graves daños” al Reino Unido”.
Tras estas sanciones, las organizaciones y los ciudadanos de los tres países tienen prohibido realizar transacciones con las personas y empresas señaladas. Todos los activos vinculados a ellos también serán congelados, y las instituciones financieras y entidades extranjeras involucradas en transacciones con ellos también pueden enfrentar sanciones.
Las sanciones siguen a una oferta de recompensa del Departamento de Estado de hasta $10 millones de dólares para el administrador del ransomware LockBit, Dmitry Khoroshev, y recompensas de hasta 15 millones de dólares para los propietarios, operadores, administradores y afiliados del ransomware LockBit.
Los proveedores de servicios de BPH venden acceso a servidores especializados y otra infraestructura informática diseñada para evadir la detección y desafiar los intentos de las fuerzas del orden de interrumpir estas actividades maliciosas.
El comisionado adjunto de la Policía Federal australiana, Richard Chin, indicó que “llamar a estos proveedores de alojamiento ‘a prueba de balas’ es un truco de marketing falso. Los cibercriminales creen que están protegidos por estos proveedores de servicios. Sin embargo, un golpe masivo por parte de las autoridades puede abrir una grieta y perturbar la infraestructura”.
Arrestos y cargos contra LockBit
En diciembre pasado, el Departamento de Justicia de Estados Unidos también acusó a un ciudadano ruso-israelí sospechoso de desarrollar malware y gestionar la infraestructura del ransomware LockBit.
Entre los cargos y arrestos anteriores de cibercriminales vinculados al ransomware Lockbit se incluyen Mikhail Pavlovich Matveev (también conocido como Wazawaka) en mayo de 2023, Artur Sungatov e Ivan Gennadievich Kondratiev (también conocido como Bassterlord) en febrero de 2024, y Dmitry Yuryevich Khoroshev (también conocido como LockBitSupp y putinkrab) en mayo de 2024.
En julio, los ciudadanos rusos Ruslan Magomedovich Astamirov y el ciudadano canadiense/ruso Mikhail Vasiliev también admitieron haber participado en al menos una docena de ataques de ransomware como afiliados de LockBit.
El Departamento de Justicia de Estados Unidos y la Agencia Nacional contra el Crimen del Reino Unido estiman que LockBit ha extorsionado hasta mil millones de dólares después de más de 7000 ataques entre junio de 2022 y febrero de 2024.
LockBit apareció hace cinco años, en septiembre de 2019, y desde entonces ha reivindicado y se le ha vinculado con ataques dirigidos a muchas entidades de alto perfil en todo el mundo, entre ellas Bank of America, Boeing, el gigante automovilístico Continental, Royal Mail del Reino Unido y el Servicio de Impuestos Internos de Italia.
En febrero de 2024, la Operación Cronos cerró la infraestructura de LockBit y confiscó 34 servidores que contenían más de 2500 claves de descifrado que luego se utilizaron para crear un descifrador gratuito de LockBit 3.0 Black Ransomware
