Sancties voor Russen die werken bij cybercrime service provider ZServers

ZServers leverde diensten aan de criminelen die verantwoordelijk waren voor de inbreuk bij Medibank Private in oktober 2022. Dit resulteerde in een compromis waarbij miljoenen klanten van Medibank werden getroffen, van wie persoonlijke en gevoelige medische informatie werd gestolen.

Financiële sancties en reisverboden zijn ook opgelegd aan vijf Russische personen – Aleksandr Bolshakov (eigenaar van ZServers), Aleksandr Mishin en Ilya Sidorov (senior medewerkers van ZServers), Dimitriy Bolshakov en Igor Odintsov (medewerkers van ZServers) – in verband met illegale cyberactiviteiten van ZServers.

Dit is de eerste keer dat Australië cybersancties oplegt aan een entiteit.

Bulletproof hosting

ZServers staat bekend als een "bulletproof hosting" (BPH)-provider, een technische infrastructuurdienst die cybercriminelen een online ruimte biedt om illegale content en operaties uit te voeren.

BPH-providers zijn resistent, maar niet immuun, tegen pogingen tot verwijdering door wetshandhavers en verzoeken om samenwerking, en negeren klachten van slachtoffers die het doelwit zijn van criminele activiteiten die door hun diensten worden ondersteund.

Wereldwijde georganiseerde cybercriminele netwerken geloven dat BPH-providers hen in staat stellen anoniem te opereren zonder het risico te worden gesloten of aangegeven bij de autoriteiten. De ransomwaregroep LockBit, een productief cybercrimineel syndicaat, gebruikte ZServers om ransomware online aan andere criminelen te verkopen en veel Australische individuen en bedrijven af te persen voor betaling.

LockBit

De LockBit-ransomwaregroep werd in februari 2024 verstoord na een door Europol geleid onderzoek waarbij wetshandhavingsinstanties uit tien landen, waaronder de AFP, betrokken waren.

Onder het kader van cybersancties is het een strafbaar feit voor Australiërs of mensen in Australië om activa te verstrekken aan ZServers of de vijf Russische personen, of om hun activa te gebruiken of te verhandelen, ook via cryptocurrency-portefeuilles of ransomware-betalingen, en wordt dit bestraft met maximaal 10 jaar gevangenisstraf en/of aanzienlijke boetes. Alle activa van ZServers of de vijf personen die in Australische instellingen worden aangehouden, moeten worden bevroren.

De AFP biedt, in samenwerking met het Ministerie van Buitenlandse Zaken en Handel (DFAT) en het Australian Signals Directorate (ASD), aanzienlijke onderzoeks- en cybercapaciteiten aan de Australische regering ter ondersteuning van cybersancties.

Sancties

De sancties van de drie landen volgen op een reeks cybersancties in 2024, waaronder de eerste Australische cybersanctie tegen een persoon, Aleksandr Ermakov, voor zijn rol in het datalek bij Medibank Private, de sancties tegen Dmitry Yuryevich Khoroshev voor zijn hoge positie binnen het LockBit-ransomwaresyndicaat, en sancties tegen drie senior leden van 'Evil Corp', een van de meest productieve en hardnekkige cybercriminele groepen ter wereld.

Assistent-commissaris Richard Chin van AFP Cyber Command zei dat ZServers internationale cybercriminelen hielp aanvallen uit te voeren op Australiërs, Australische bedrijven lam te leggen en slachtoffers af te persen door middel van bedreigingen en controle over hun gevoelige en privédata.

"Bulletproof hostingproviders bieden cybercriminelen bescherming door te weigeren websites met gevaarlijke, illegale inhoud te verwijderen, ondanks dat ze worden gemarkeerd door wetshandhavingsinstanties, overheden en zelfs slachtoffers," zei assistent-commissaris Chin.

Marketingtruc

"De AFP werkt nauw samen met de Australische overheid en binnen- en buitenlandse wetshandhavingsinstanties om criminele netwerken die bulletproof hostingproviders runnen en de wereldwijde georganiseerde cybercriminelen die ze gebruiken, te verstoren.

"Deze hostingproviders 'bulletproof' noemen is een valse marketingtruc. Cybercriminelen denken dat ze worden beschermd door deze serviceproviders, maar één enorme zwaai van de autoriteiten kan de infrastructuur openbreken en verstoren.

"Cybercrime-serviceproviders stellen criminelen in staat om de meest verachtelijke inhoud online te verspreiden en te delen, waaronder materiaal over seksueel misbruik van kinderen, extremistische inhoud en ransomware die wordt gebruikt om kwaadaardige cyberaanvallen uit te voeren.

Schade

"Door deze cybercrime-serviceproviders aan te pakken en samen te werken met binnen- en buitenlandse wetshandhavingspartners, verstoort de AFP duizenden cybercriminelen over de hele wereld om de belangen van Australië te beschermen en Australiërs tegen schade te beschermen."

Lees voor meer informatie over bulletproof hostingproviders de gezamenlijke publicatie van ASD en AFP, "Bulletproof" hosting providers: Cracks in the armour of cybercriminal infrastructure.