Update 14 februari 2025: Het cybercrimeteam van de politie Amsterdam heeft 127 XHost-servers in beslag genomen. De bulletproof dienst vereiste twee jaar aan voorbereiding om neergehaald te worden.
Een bulletproof hoster beschermt cybercriminelen door hun identiteit te verbergen. De Politie geeft aan dat hosters als deze een groot gevaar vormen als ‘veilige havens’ voor kwaadwillenden. De servers in kwestie bevatten daarnaast allerlei soorten tooling, van ransomware tot botnets en malware. Ook een server van Conti en LockBit werd aangetroffen, dat aanduidt dat de serverhouder contact had met de grootste cybergevaren wereldwijd.
Oorspronkelijk bericht, 12 februari 2025:
De Verenigde Staten, het Verenigd Koninkrijk en Australië leggen de Russische bulletproof hosting services provider (BPH) ZServers sancties op. Dit vanwege mogelijke banden die de hostingaanbieder heeft met de ransomwarebende LockBit.
Volgens een verklaring van de Australische Federale Politie (AFP) levert de uit Rusland afkomstige hostingaanbieder ZServers diensten aan bepaalde cybercriminelen die achter een grote hackaanval eind 2022 op de Australische zorgverzekeraar Medibank Private Health zitten. Bij deze aanval werden de gevoelige gegevens van miljoenen verzekerden gestolen.
De ransomwarebende LockBit zou deze gegevens via de servers van ZServers aan andere criminelen hebben verkocht. Ook zouden zij via deze omgevingen vele Australische personen en bedrijven met de gestolen gevoelige data hebben afgeperst.
Bulletproof hosting
ZServers is een aanbieder van zogenoemde ‘bulletproof hosting’-diensten. Dit zijn webhostingdiensten die zeer moeilijk offline kunnen worden gehaald en daardoor geliefd zijn voor discutabele of kwaadaardige activiteiten. Denk daarbij aan het hosten van malware, phishing-sites of botnets.
Deze BPH-diensten negeren vaak verzoeken van justitiële autoriteiten, DMCA-verzoeken of gaan niet in op klachten over misbruik.
De sancties die ZServers nu van de VS, het VK en Australië krijgt opgelegd, gelden niet alleen voor het bedrijf zelf, maar ook voor individuele medewerkers. Dit zijn de vermoedelijke eigenaar Aleksandr Bolshakov, senior-medewerkers Aleksandr Mishin en Ilya Sidorov, en de overige medewerkers Dimitriy Bolshakov en Igor Odintsov.
De sancties zelf bestaan uit reisbeperkingen en financiële sancties. Ook worden de tegoeden van ZServers in de drie landen bevroren.
Lees ook: Europese politiediensten delen klap uit aan ransomware-groep LockBit