États-Unis et Royaume-Uni sanctionnent les serveurs russes liés aux ransomwares de verrouillage

Les États-Unis, le Royaume-Uni et l’Australie ont conjointement imposé des sanctions à ZServers, un prestataire de services d’hébergement russe qui aurait été utilisé par le célèbre groupe de ransomware LockBit et d’autres cybercriminels.

Le Bureau américain du contrôle des actifs étrangers (OFAC) a inscrit ZServers ainsi que six de ses employés sur la liste des personnes spéciellement désignées (SDN), ce qui bloque tout actif américain qu’ils pourraient posséder et interdit aux entités américaines toute interaction avec eux.

De son côté, l’Office du Commonwealth et du développement étranger du Royaume-Uni a également sanctionné Xhost Internet Solutions LP, une société de façade basée au Royaume-Uni pour ZServers, qui se serait positionnée comme un fournisseur d’hébergement “à l’épreuve des balles” pour cybercriminels.

ZServers aurait facilité l’hébergement de contenus liés au piratage, à la désinformation, à l’exploitation des enfants, au spam et à des discours haineux, en plus de vendre des outils permettant aux criminels de dissimuler leurs activités et identités.

Selon un rapport de Chainalysis, “plusieurs affiliés de ransomwares” auraient transféré des fonds à ZServers, dont un affilié prenant le nom de LockBit, qui a été démantelé en février dernier après avoir extorqué 120 millions de dollars en Bitcoin à ses victimes.

Chainalysis n’a pas encore répondu à une demande de commentaires de Décrypter.

Une enquête menée en 2022 sur un affilié à LockBit a permis de remonter jusqu’à ZServers, lorsqu’un ordinateur portable exécutant une machine virtuelle a été trouvé connecté à une adresse IP liée à ZServers.

Les données de Chainalysis indiquent également que ZServers aurait encaissé des fonds via Garantex, un échange déjà sanctionné par l’OFAC, ainsi que dans d’autres échanges sans connaissance du client (KYC).

En tout, les transactions de ZServers avec des acteurs liés aux ransomwares auraient représenté 5,2 millions de dollars d’activité sur la chaîne, selon Chainalysis.

Les gouvernements américain et britannique ont salué l’imposition de ces sanctions comme un coup dur porté aux gangs internationaux de ransomware, qui, selon le FATF, exigent “quasiment exclusivement” le paiement en crypto-monnaie.

« L’action trilatérale d’aujourd’hui avec l’Australie et le Royaume-Uni démontre notre détermination collective à perturber cet écosystème criminel où qu’il soit, afin de protéger notre sécurité nationale », a déclaré Bradley T. Smith, sous-secrétaire adjoint au Trésor pour le terrorisme et le renseignement financier.

Le ministre britannique d’État à la Sécurité, Dan Jarvis, a décrit les gangs de cybercriminalité liés à la Russie comme étant parmi les “menaces cybernétiques les plus nuisibles” auxquelles le Royaume-Uni se confronte actuellement.

« Priver les cybercriminels de leurs outils affaiblit leur capacité à causer des dégâts au Royaume-Uni », a-t-il déclaré.

D’après les données récentes, les attaques par ransomware se sont multipliées, mais elles engendrent moins de pertes financières qu’auparavant.

Le rapport sur la criminalité crypto a noté une baisse de 35% d’une année sur l’autre du volume total des paiements de ransomwares, passant d’un record de 1,25 milliard de dollars en 2023 à 813,55 millions de dollars l’année dernière.

Cependant, une augmentation des incidents liés aux ransomwares a été observée au second semestre 2024, avec 56 fuites de données enregistrées tout au long de l’année, soit plus du double par rapport à 2023.

Le Centre national de cybersécurité du Royaume-Uni a prédit en janvier 2024 que l’intelligence artificielle amplifierait le volume et l’impact des attaques par ransomware au cours des deux prochaines années.

Un groupe connu sous le nom de Funksec aurait utilisé une IA générative pour développer son code, responsable de pas moins de 103 attaques distinctes en décembre 2024, ce qui en fait le groupe de ransomware le plus actif de ce mois-là.

Édité par Stacy Elliott.