Russian bulletproof hosting provider sanctioned over ransomware ties

Sanctions Contre des Fournisseurs de Services d’Hébergement Criminels

Les États-Unis, le Royaume-Uni et l’Australie ont imposé des sanctions à des fournisseurs russes de services d’hébergement “bulletproof” (BPH), connus pour soutenir des groupes de cybercriminalité, notamment des opérateurs de ransomwares. Ces fournisseurs louent des infrastructures à des criminels pour faciliter leurs activités illicites, ignorant les plaintes des victimes et les demandes de démantèlement des forces de l’ordre.

Parmi les entités sanctionnées figurent Media Land et ses sociétés affiliées (Media Land Technology, Data Center Kirishi, ML Cloud), qui ont fourni des services à des places de marché cybercriminelles et à des groupes tels que LockBit, BlackSuit et Play. L’infrastructure de Media Land a également été utilisée pour des attaques par déni de service distribué (DDoS) contre des entreprises américaines et des infrastructures critiques.

Trois dirigeants de Media Land ont également été visés par les sanctions pour leur implication dans les opérations de l’entreprise. D’autres entités, comme Aeza Group LLC et Hypercore Ltd, ainsi que des sociétés serbes et ouzbèkes offrant un soutien technique, ont également été désignées.

Ces mesures visent à geler les actifs des individus et entités désignés dans les juridictions concernées et à dissuader toute transaction avec eux. Les sanctions s’inscrivent dans une démarche plus large pour perturber les réseaux cybercriminels.

Parallèlement, les agences de cybersécurité du “Five Eyes” (Australie, Canada, Nouvelle-Zélande, Royaume-Uni, États-Unis) ont publié un guide conjoint pour aider les fournisseurs de services Internet et les défenseurs de réseaux à atténuer les risques liés à l’utilisation de services BPH par des cybercriminels.

Points Clés :

• Sanctions coordonnées par les États-Unis, le Royaume-Uni et l’Australie contre des fournisseurs russes d’hébergement “bulletproof”.
• Ces fournisseurs facilitent les activités de groupes de cybercriminalité, y compris les ransomwares.
• Plusieurs entités et individus clés ont été désignés.
• Des recommandations conjointes ont été publiées pour atténuer les risques liés aux services BPH.

Vulnérabilités (non spécifiques avec CVEs, mais liées aux services BPH) :

• Support d’activités cybercriminelles : Les services BPH fournissent l’infrastructure nécessaire pour mener des attaques de phishing, des campagnes de malware, des opérations de commande et de contrôle, et l’hébergement de contenu illicite.
• Obstruction aux enquêtes et aux actions de démantèlement : Le modèle “bulletproof” implique l’ignorance des plaintes et des demandes des forces de l’ordre, permettant aux cybercriminels d’opérer plus librement.
• Utilisation dans des attaques DDoS : L’infrastructure BPH peut être exploitée pour mener des attaques par déni de service distribué visant des entreprises et des infrastructures critiques.

Recommandations :

• Pour les fournisseurs de services Internet et les défenseurs de réseaux :
  • Créer des listes de ressources Internet malveillantes (“high confidence”) en utilisant des flux de renseignement sur les menaces.
  • Effectuer une analyse régulière du trafic réseau.
  • Implémenter des filtres aux frontières du réseau.
  • Notifier les clients sur les listes de ressources malveillantes.
  • Établir des capacités “know your customer” (KYC) exigeant des informations d’identité vérifiées pour les nouveaux clients, car les fournisseurs BPH changent souvent d’adresses e-mail et de numéros de téléphone temporaires.
• Pour les entités visées par des sanctions :
  • Gel de tous les biens détenus dans les juridictions concernées.
  • Exposition aux sanctions secondaires et aux actions de mise en application pour ceux qui mènent des transactions avec les entités désignées.

Source