近期，美国、澳大利亚和英国制裁了俄罗斯防弹主机（BPH）服务提供商Zservers，原因是该公司为LockBit勒索软件团伙提供必要的攻击基础设施。

该公司的两名主要管理人员是俄罗斯公民，他们也因指导Lockbit虚拟货币交易和支持该团伙的攻击而被指控。

美国外国资产控制办公室（OFAC）表示，加拿大当局在2022年对一家已知的LockBit附属公司的突袭中发现了一台运行虚拟机的笔记本电脑，该虚拟机与Zservers转租的IP地址相连，并运行LockBit恶意软件控制面板。

2022年，一名俄罗斯黑客从Zservers获得了IP地址，这些地址可能与LockBit聊天服务器一起用于协调勒索软件活动，而在2023年，Zservers向LockBit附属公司提供了包括俄罗斯IP地址在内的基础设施。

美国财政部负责恐怖主义和金融情报的代理副部长表示：“勒索软件攻击者和其他网络犯罪分子依靠第三方网络服务提供商（如Zservers）来攻击美国和国际关键基础设施。”并称这些托管服务提供商‘刀枪不入’是一种虚假的营销噱头。网络犯罪分子认为他们有这些服务提供商的保护，然而，一次大规模行动打开并破坏了基础设施。

像ZSERVERS这样的BPH提供商提供一系列可购买的工具来掩盖网络犯罪分子的位置、身份和活动，从而保护和支持网络犯罪分子。以这些供应商为目标可以同时挫败数百或数千名罪犯。

英国外交、联邦和发展办公室还制裁了Zservers在英国的幌子公司XHOST Internet Solutions LP和四名员工，同样因为他们支持LockBit勒索软件攻击。

在这些制裁之后，这三个国家的公民被禁止与被指认的个人和公司进行交易。与他们有关的所有资产也将被冻结，与他们有交易的金融机构和外国实体也可能面临处罚。

在制裁之前，美国国务院为LockBit勒索软件管理员提供了高达1000万美元的奖赏，并为LockBit勒索软件所有者、运营商、管理员和附属机构提供了高达1500万美元的悬赏。

LockBit被指控和逮捕

去年12月，美国司法部还指控一名俄罗斯-以色列双重国籍人士涉嫌开发恶意软件并管理LockBit勒索软件的基础设施。

此前与Lockbit勒索软件有关的网络罪犯的指控和逮捕包括：2023年5月的Mikhail Pavlovich Matveev（又名Wazawaka）， 2024年2月的Artur Sungatov和Ivan Gennadievich Kondratiev（又名Bassterlord），以及2024年5月的Dmitry Yuryevich Khoroshev（又名LockBitSupp和putinkrab）。

今年7月，一俄罗斯公民和加拿大公民也承认，他们作为LockBit的附属机构参与了至少12起勒索软件攻击。

LockBit于2019年9月浮出水面，此后声称与针对全球许多知名实体的攻击有关，包括美国银行、波音公司、大陆汽车巨头、英国皇家邮政和意大利国税局等。

2024年2月，Cronos行动关闭了LockBit的基础设施，并查封了34台服务器，其中包含2500多个解密密钥，后来用于创建免费的LockBit 3.0黑色勒索软件解密器。

参考及来源：https://www.bleepingcomputer.com/news/security/us-sanctions-lockbit-ransomwares-bulletproof-hosting-provider/