Mỹ, Anh và Úc trừng phạt Zservers, nhà cung cấp dịch vụ bulletproof hosting cho LockBit, nhóm ransomware gây thiệt hại hàng tỷ USD. Chiến dịch quốc tế này nhắm vào việc ngăn chặn các cuộc tấn công ransomware ngày càng gia tăng.
Mỹ, Anh và Úc đã phối hợp hành động chống lại Zservers, công ty Nga bị cáo buộc cung cấp dịch vụ bulletproof hosting (dịch vụ lưu trữ bỏ qua kiểm duyệt, thường hỗ trợ các hoạt động bất hợp pháp) cho băng nhóm ransomware LockBit.
Thông tin được công bố vào ngày 11/2 bởi Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Mỹ và Bộ Ngoại giao Anh, đánh dấu bước tiến quan trọng trong nỗ lực quốc tế nhằm ngăn chặn các cuộc tấn công ransomware đang ngày càng tinh vi và gây thiệt hại lớn. Các biện pháp trừng phạt bao gồm đóng băng tài sản của Zservers và công ty bình phong XHOST Internet Solutions LP tại Anh, cùng với lệnh cấm đi lại và đóng băng tài sản đối với 6 cá nhân liên quan.
LockBit, được phát hiện lần đầu vào tháng 9/2019, được cho là đã tống tiền lên tới 1 tỷ USD thông qua hơn 7.000 cuộc tấn công mạng từ tháng 6/2022 đến tháng 2/2024. Nhóm này sử dụng ransomware, một loại phần mềm độc hại mã hóa dữ liệu máy tính và đe dọa xóa hoặc công khai dữ liệu trừ khi nạn nhân trả tiền chuộc, thường bằng tiền mã hóa.
Các vụ tấn công của LockBit đã gây thiệt hại đáng kể cho các tổ chức trên toàn cầu, bao gồm cả vụ tấn công vào nhà cung cấp bảo hiểm Medibank tại Úc và Ngân hàng Công thương Trung Quốc tại Mỹ (ICBC US).
Việc nhắm mục tiêu vào Zservers, nhà cung cấp dịch vụ bulletproof hosting, được coi là yếu tố then chốt trong chiến lược chống lại LockBit. Các dịch vụ trên cung cấp công cụ giúp che giấu vị trí, danh tính và hoạt động trực tuyến của tội phạm mạng, khiến việc truy vết và ngăn chặn các cuộc tấn công trở nên khó khăn hơn.
Quyền Thứ trưởng phụ trách khủng bố và tình báo tài chính của Mỹ, Bradley Smith, nhấn mạnh rằng tội phạm mạng phụ thuộc vào các nhà cung cấp dịch vụ mạng như Zservers để thực hiện các cuộc tấn công nhắm vào hạ tầng quan trọng.
Tác động của lệnh trừng phạt
Chiến dịch quốc tế trên được triển khai sau cuộc điều tra phối hợp của 10 quốc gia vào tháng 2/2024, nhắm vào việc triệt phá LockBit. 2 trong số 6 cá nhân bị trừng phạt là Alexander Igorevich Mishin và Aleksandr Sergeyevich Bolshakov, công dân Nga, được cho là có vai trò quản lý giao dịch tiền mã hóa của LockBit và hỗ trợ các cuộc tấn công của nhóm này.
Chainalysis, công ty phân tích blockchain, đã xác định một địa chỉ ví tiền mã hóa liên quan đến Mishin và ba ví khác liên kết với Zservers hiện nằm trong danh sách Công dân được chỉ định đặc biệt (SDN) của OFAC. Việc đưa vào danh sách SDN đồng nghĩa với các địa chỉ này sẽ chịu các biện pháp trừng phạt đặc biệt từ chính phủ Mỹ. Điều này tương tự với việc OFAC đưa 44 địa chỉ hợp đồng thông minh của Tornado Cash, dịch vụ trộn tiền mã hóa, vào danh sách SDN vào tháng 8/2022 với cáo buộc rửa hơn 7 tỷ USD tiền mã hóa.
Phân tích của Chainalysis về hoạt động on-chain của Zservers cho thấy công ty này đã nhận tiền từ nhiều nhóm ransomware khác ngoài LockBit, với tổng giá trị giao dịch ít nhất 5,2 triệu USD. Zservers được cho là đã rút tiền tại sàn giao dịch Garantex có trụ sở tại Nga và các dịch vụ thương mại không tuân thủ quy định KYC (xác minh danh tính khách hàng). Trang web của Zservers quảng cáo máy chủ tại Mỹ, Nga, Bulgaria, Hà Lan và Phần Lan, cùng với các dịch vụ hỗ trợ, cung cấp thiết bị và cấu hình tùy chỉnh.
