Cybercriminalité : sanctions et saisie d’infrastructure

C’est une première, soulignent les autorités néerlandaises, annonçant avoir « physiquement saisi les serveurs » d’un hébergeur dit « bulletproof ». Celui-ci est connu pour ne pas répondre aux réquisitions judiciaires et, ainsi, alimenter les activités de cybercriminels.

Dans le cas présent, il s’agit de ZServers/XHost : il a attiré l’attention il y a un an, explique la police néerlandaise, en faisait activement la promotion de sa bienveillance à l’égard des activités numériques répréhensibles.

À l’occasion de la saisie, des outils utilisés notamment dans le cadre d’activités associées aux enseignes de rançongiciels Conti et LockBit ont été retrouvés.

Cette opération est survenue juste après que les États-Unis, le Royaume-Uni et l’Australie aient annoncé des sanctions à l’encontre de Zservers, « pour son rôle dans le soutien des attaques de [l’enseigne de ransomware] LockBit ».

Le trésor américain désigne en plus deux administrateurs clés de l’hébergeur, des ressortissants russes accusés d’avoir contribué à la conduite de cyberattaques avec rançongiciel et « d’autres activités criminelles », Alexander Igorevich Mishin et Aleksandr Sergeyevich Bolshakov.

Le Royaume-Uni a ajouté quatre employés de Zservers à la liste des personnes visées par ses sanctions. L’Australie mentionne de son côté BianLian parmi les enseignes ayant utilisé les services de l’hébergeur.

Selon Washington, ces sanctions résultent notamment des investigations précédemment menées à l’encontre des membres du groupe Evil Corp, auquel on doit notamment Dridex. Né comme un cheval de Troie bancaire, avant d’évoluer en botnet. Il sera notamment utilisé, à partir de 2019, pour distribuer le ransomware BitPaymer.

À l’automne dernier, l’agence britannique de lutte contre la criminalité a révélé l’identité d’un membre de haut niveau du collectif cybercriminel Evil Corp. Il a également opéré en tant qu’affidé de la franchise mafieuse LockBit.