Un’iniziativa internazionale ha sanzionato Media Land, con sede in Russia, e ha preso provvedimenti contro le aziende e le persone che hanno aiutato Aeza Group a eludere le sanzioni precedentemente emesse
Di Matt Kapko
Foto:GettyImages-
Mercoledì, il Dipartimento del Tesoro, insieme a funzionari del Regno Unito e dell’Australia, ha imposto sanzioni a due fornitori di servizi di hosting a prova di bomba e alle persone chiave coinvolte nelle loro operazioni, in uno sforzo coordinato a livello globale volto a contrastare il ruolo di questi servizi nel consentire operazioni di ransomware, phishing e campagne di estorsione di dati in tutto il mondo.
Le autorità hanno sanzionato Media Land, tre dei suoi dirigenti e tre società affiliate per presunto supporto a operazioni di ransomware e altri reati informatici. Il fornitore di hosting antiproiettile con sede in Russia ha fornito servizi a gruppi di ransomware, tra cui LockBit , BlackSuit e Play , hanno affermato i funzionari.
Le autorità hanno imposto sanzioni al direttore generale di Media Land, Alexsandr Volosovik, Kirill Zatolokin, Yulia Pankova e alle sussidiarie ML Cloud, Media Land Technology e Data Center Kirishi.
“Media Land ha avuto un impatto significativo soprattutto grazie alla sua longevità. Recorded Future è in grado di tracciare gli aggressori che hanno utilizzato la sua infrastruttura almeno a partire dal 2015, ovvero 10 anni di attività”, ha dichiarato a CyberScoop Allan Liska, analista di threat intelligence di Recorded Future.
“Colpire questo tipo di infrastrutture può avere un effetto destabilizzante sull’ecosistema del ransomware”, ha affermato. “Non è la stessa cosa di un’eliminazione, ma rende molto più difficile per questi autori di minacce operare e continuare a fornire servizi”.
Anche le autorità informatiche, insieme all’alleanza di intelligence Five Eyes e ai Paesi Bassi, hanno pubblicato mercoledì una guida alla mitigazione , che offre suggerimenti per aiutare i difensori a contrastare la criminalità informatica resa possibile da questa infrastruttura. Gli sforzi per compromettere questi servizi “richiedono un approccio sfumato, perché un’infrastruttura di hosting a prova di bomba è integrata in sistemi infrastrutturali Internet legittimi e le azioni dei provider di servizi Internet o dei difensori di rete possono avere un impatto sulle attività legittime”, hanno affermato i funzionari in una guida alla mitigazione pubblicata mercoledì.
Nonostante le sanzioni, l’infrastruttura di Media Land rimarrà online finché i partner di peering dell’organizzazione non interromperanno i servizi chiave, ha affermato Zach Edwards, analista senior delle minacce presso Silent Push. Uno di questi partner, JSC RetnNet, ha sede anche in Russia, ma l’altro partner di peering, RETN Limited, è un ISP con sede nel Regno Unito, ha aggiunto.
“L’ecosistema dell’hosting a prova di proiettile è fiorente e in crescita”, ha affermato Edwards, aggiungendo “abbiamo ancora bisogno che le forze dell’ordine facciano più pressione sui partner di peering che aiutano a rendere online l’infrastruttura di hosting a prova di proiettile e a renderla accessibile al resto di Internet”.
I criminali informatici utilizzano infrastrutture di hosting a prova di bomba per nascondere le loro attività, tra cui la distribuzione di malware, il phishing e l’hosting di contenuti e servizi che supportano ransomware, estorsione di dati e attacchi denial of service, hanno affermato i funzionari.
“L’hosting antiproiettile è uno dei principali fattori abilitanti della moderna criminalità informatica”, ha affermato in una nota Madhu Gottumukkala, direttore ad interim della Cybersecurity and Infrastructure Security Agency.
Le autorità hanno inoltre preso provvedimenti contro aziende e individui che hanno aiutato il gruppo Aeza, precedentemente sanzionato, a eludere le sanzioni e a ricostituire le operazioni con nuove infrastrutture e una nuova leadership.
Hypercore, con sede nel Regno Unito, Maksim Vladimirovich Makarov, il nuovo presunto direttore di Azea, e Ilya Vladislavovich Zakirov sono stati sanzionati per aver supportato le attività in corso di Aeza Group. Le autorità hanno inoltre sanzionato Smart Digital Ideas DOO e Datavice MCHJ per aver fornito infrastrutture tecniche ad Azea.
“I provider di hosting Bulletproof ospitano la maggior parte delle infrastrutture per la criminalità informatica utilizzate da un’ampia gamma di attori delle minacce globali per attacchi ransomware, campagne di phishing, distribuzione di malware e tutto il resto”, ha affermato Edwards.
“Concentrarsi su questi host dannosi dovrebbe essere una delle massime priorità delle forze dell’ordine, per garantire che negli anni a venire non si giochi semplicemente a Whac-A-Mole con singoli autori di minacce”.
Scritto da Matt Kapko
Matt Kapko è un giornalista di CyberScoop. Si occupa di criminalità informatica, ransomware, difetti software e (cattiva) gestione delle vulnerabilità. Californiano da sempre, ha iniziato la sua carriera giornalistica nel 2001, con precedenti esperienze presso Cybersecurity Dive, CIO, SDxCentral e RCR Wireless News. Matt ha una laurea in giornalismo e storia presso la Humboldt State University.
