Il aura fallu le temps, mais l’enquête a fini par payer. L'un des hébergeurs bulletproof les plus actifs vient de tomber aux Pays-Bas.
Après un an d’enquête, la police d’Amsterdam a annoncé avoir saisi et mis hors ligne 127 serveurs ZServers/XHost, hébergeur bulletproof utilisé par les groupes de ransomware LockBit et Conti, ainsi que pour la diffusion de malwares et de botnets. Une opération qui s’inscrit dans une offensive internationale contre ces types d’infrastructures, quelques jours après les sanctions émises par les États-Unis, l’Australie et le Royaume-Uni contre ses administrateurs présumés.
ZServers/XHost, une infrastructure dans le viseur des autorités
Si l’intervention vient d’avoir lieu, ZServers/XHost était en réalité dans le collimateur des autorités depuis quelques années. La première alerte est venue du Canada en 2022, lors d’un raid mené contre un affilié de LockBit. Les enquêteurs y ont saisi un ordinateur exécutant une machine virtuelle reliée à une adresse IP de ZServers, utilisée pour administrer un panneau de contrôle du ransomware.
En parallèle, les États-Unis, l’Australie et le Royaume-Uni ont multiplié les investigations, et découvert que les infrastructures de ZServers revenaient régulièrement dans des cyberattaques, hébergeant botnets, malwares et plateformes de blanchiment d’argent. Ses administrateurs ne faisaient d'ailleurs rien pour masquer leurs intentions, affichant ouvertement des garanties d’anonymat total et un refus de collaborer avec les autorités.
Toutes ces informations recoupées ont fini par mener aux Pays-Bas, où étaient hébergés une partie des serveurs de la plateforme. Après un an de surveillance, les autorités néerlandaises ont fini par mettre la main sur un réseaux de 127 serveurs dans un data center, et les a naturellement mis hors ligne. L’enquête se poursuit, mais les premières analyses confirment déjà la présence d’outils liés à LockBit, Conti et d’autres infrastructures malveillantes.
Un coup porté aux infrastructures, mais pas aux responsables
Malgré la saisie des serveurs ZServers/XHost, aucun de ses administrateurs n’a pour l’instant été arrêté. Alexander Igorevich Mishin et Aleksandr Sergeyevich Bolshakov, soupçonnés d’être à la tête de la plateforme, ont bien été identités par les États-Unis, l’Australie et le Royaume-Uni en début de semaine, mais les sanctions prononcées à leur encontre se limitent pour le moment au gel de leurs actifs et à l’interdiction de réaliser toutes formes de transactions avec eux. En parallèle, d’autres collaborateurs potentiels, localisés au Royaume-Uni, figurent aussi sur la liste des personnes suspectées.
Évidemment, bien que ces mesures puissent contribuer à entraver leurs activités et opérations financières, elles ne suffisent pas à démanteler le réseau dans son ensemble. L’exploitation des serveurs saisis pourrait néanmoins fournir des indices sur leurs clients, les infrastructures associées et les flux financiers liés à la cybercriminalité. Il faut toutefois garder à l’esprit que ces plateformes sont généralement configurées pour effacer automatiquement leurs logs en cas de saisie, ce qui pourrait limiter l’impact de l’opération.
Quoi qu’il en soit, si ce type d’intervention complique la logistique des cybercriminels, il ne suffit pas à enrayer le phénomène. Tant que ces services existeront, des groupes comme LockBit et Conti trouveront toujours un plan B pour poursuivre leurs activités.
Sources : Politie, BleepingComputer
06 février 2025 à 09h45
