Behörden in den USA, Australien und Großbritannien haben den in Russland ansässigen Anbieter von Hosting-Diensten Zservers mit Sanktionen belegt, weil er mutmaßlich Dienstleistungen für die Krypto-Ransomware-Bande LockBit erbracht hat.
Die Sanktionen umfassen das Einfrieren von Vermögenswerten von Zservers und seiner im Vereinigten Königreich ansässigen Scheinfirma XHOST internet Solutions LP sowie das Einfrieren von Vermögenswerten und Reiseverbote für sechs Einzelpersonen, teilten das US-Finanzministerium (Office of Foreign Assets Control, OFAC) und das britische Außenministerium am 11. Februar mit.
Nach Angaben des US-Finanzministeriums sind Anbieter von kugelsicheren Hosting-Diensten dafür bekannt, dass sie eine Reihe von Tools verkaufen, mit denen sich Standorte, Identitäten und Online-Aktivitäten verschleiern lassen. Der stellvertretende Staatssekretär für Terrorismus und Finanzinformationen, Bradley Smith, sagte, dass sich Cyberkriminelle auf Drittanbieter wie Zservers verlassen, um "ihre Angriffe auf kritische Infrastrukturen in den USA und weltweit zu ermöglichen".
Behörden aus 10 Ländern starteten im Februar 2024 eine gemeinsame Operation zur Zerschlagung von LockBit. Sie behaupteten, die Gruppe habe Schäden in Milliardenhöhe verursacht, darunter einen Hack des australischen Versicherungsunternehmens Medibank und der Industrial Commercial Bank of China US.
LockBit verwendet Ransomware, eine Art von Malware, die Computerdateien verschlüsselt und damit droht, sie entweder zu löschen oder weiterzugeben, wenn das Opfer nicht bezahlt. In der Regel wird dabei eine Zahlung in Kryptowährung gefordert.
Unter den sechs Personen, gegen die Sanktionen verhängt wurden, befinden sich zwei Zservers-Administratoren, nämlich Alexander Igorevich Mishin und Aleksandr Sergeyevich Bolshakov, denen eine Rolle bei der Leitung von LockBit-Kryptotransaktionen und der Unterstützung der Angriffe der Bande zugeschrieben wird.
Das Blockchain-Analyseunternehmen Chainalysis erklärte in einem Bericht vom 11. Februar, dass eine Kryptoadresse, die mit Mishin verbunden ist, und drei weitere Wallets, die mit Zservers verbunden sind, nun auf der OFAC-Liste der "Specially Designated Nationals" (SDN) stehen, was bedeutet, dass sie von der US-Regierung mit besonderen Sanktionen belegt sind.
Die OFAC hatte im August 2022 44 Tornado-Cash-Smart-Contract-Adressen auf die Liste gesetzt und behauptet, dass Einzelpersonen den Mixer zur Geldwäsche von Kryptowährungen im Wert von mehr als 7 Mrd. US-Dollar genutzt hätten.
Die Onchain-Aktivitäten von Zservers zeigen, dass verschiedene Akteure Gelder für ihre Dienste an Zservers geschickt haben, z. B. Ransomware-Gruppen und Tochtergesellschaften, darunter "mehrere verschiedene Ransomware-Tochtergesellschaften - über LockBit hinaus", so Chainalysis in seinem Bericht.
Gleichzeitig gab das Unternehmen an, dass Zservers Gelder bei der sanktionierten russischen Börse Garantex, bei Handelsdiensten und Börsen, die die Vorschriften im Hinblick auf Identitätsprüfungen nicht einhalten, abgehoben hat.
Chainalysis war in der Lage, einige der Onchain-Aktivitäten von Zservers und Verbindungen zu Ransomware-Gruppen zu verfolgen. Quelle: Chainalysis
"Zusätzlich zur verschachtelten Infrastruktur von Zservers sind wir in der Lage, Reactor zu verwenden, um die Onchain-Aktivitäten im Wert von mindestens 5,2 Millionen US-Dollar und die gründliche Verbindung zu den hochriskanten und illegalen Entitäten zu visualisieren", so Chainalysis.
Auf der Homepage von Zservers sind Server in den USA, Russland, Bulgarien, den Niederlanden und Finnland aufgeführt, und es wird behauptet, man biete Support, Ausrüstung und individuelle Konfigurationsdienste an.
LockBit wurde erstmals im September 2019 von den Behörden entdeckt und soll zwischen Juni 2022 und Februar 2024 bei 7.000 Cyberangriffen bis zu 1 Milliarde US-Dollar erpresst haben.
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.
