Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

Soluciones
Aprenda
Empresa
SOLICITAR DEMO
en
Buscar en
Buscar en
Perspectivas
11 de febrero de 2025

EE.UU., Reino Unido y Australia apuntan a Zservers y afiliados de LockBit

TRM InsightsPerspectivas
EE.UU., Reino Unido y Australia apuntan a Zservers y afiliados de LockBit

Hoy, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU., en coordinación con el Departamento de Asuntos Exteriores y Comercio de Australia y la Oficina de Asuntos Exteriores, Commonwealth y Desarrollo del Reino Unido, anunciaron sanciones contra Zservers, un proveedor de servicios de hosting a prueba de balas con sede en Rusia, por su papel en el apoyo a los ataques de ransomware LockBit. Las designaciones incluyen a múltiples empleados y administradores de Zservers, así como a la empresa tapadera británica de Zservers, XHOST Internet Solutions LP.

LockBit es una de las variantes de ransomware más extendidas y ha sido responsable de importantes ciberataques, incluida la brecha de noviembre de 2023 del Industrial Commercial Bank of China's U.S. broker-dealer. Zservers ha desempeñado un papel fundamental a la hora de facilitar las operaciones de LockBit proporcionando una infraestructura especializada diseñada para eludir la detección de las fuerzas de seguridad y las defensas de ciberseguridad.

Zservers también ha dado soporte a otras variantes de ransomware , como Dharma, Hive, VoidCrypt y Venus Ransomware. 

Sitios de alojamiento a prueba de balas

Un sitio de alojamiento a prueba de balas (BPH ) es un servicio de alojamiento web que proporciona una infraestructura diseñada para eludir los esfuerzos de detección y retirada de las fuerzas de seguridad. Estos proveedores de alojamiento suelen promocionarse como tolerantes con las actividades ilegales o poco éticas y ofrecen protección frente a la incautación de dominios, las denuncias legales y la supervisión de la ciberseguridad.

Los proveedores de alojamiento a prueba de balas son conocidos por resistirse a las acciones de las fuerzas de seguridad. Suelen ignorar los informes de abuso de las autoridades y las empresas de ciberseguridad, lo que permite a los ciberdelincuentes seguir operando sin interrupciones. Muchos de estos servicios operan en jurisdicciones con una débil aplicación de la ciberdelincuencia, lo que dificulta su cierre por parte de las autoridades internacionales.

El anonimato es otra característica clave de los sitios de alojamiento a prueba de balas. Estos proveedores suelen aceptar pagos en criptomoneda y exigen poca o ninguna verificación de los clientes, lo que dificulta el rastreo de las personas que utilizan sus servicios. Cuando los servidores son marcados o incluidos en una lista negra, los operadores de alojamiento a prueba de balas reasignan rápidamente nuevas direcciones IP o trasladan los servicios a otras jurisdicciones para evitar su cierre.

Estos servicios de alojamiento son ampliamente utilizados por los ciberdelincuentes para actividades como operaciones de ransomware , campañas de phishing, distribución de malware, botnets y mercados darknet. Los grupos de Ransomware , por ejemplo, utilizan el alojamiento a prueba de balas para operar servidores de mando y control que gestionan las infecciones de ransomware . Las operaciones de phishing y fraude recurren a estos servicios para alojar sitios bancarios fraudulentos, operaciones de suplantación de identidad y campañas de robo de credenciales. Las redes de bots, que lanzan ataques de denegación de servicio distribuidos (DDoS), a menudo utilizan alojamientos a prueba de balas para permanecer en línea incluso después de ser identificadas por los investigadores de ciberseguridad. Los mercados de la red oscura que facilitan la venta de drogas, armas y datos robados también dependen de estos servicios de alojamiento para mantener sus operaciones.

Zservers, el proveedor de alojamiento con sede en Rusia sancionado hoy por la OFAC, ha sido identificado como un facilitador clave de los afiliados al ransomware LockBit. Las investigaciones han demostrado que Zservers alquiló direcciones IP, servidores y herramientas de red que se utilizaron en los ataques de ransomware . Los administradores de Zservers también facilitaron transacciones de criptomoneda para sostener estas operaciones ciberdelictivas.

Al sancionar a Zservers y a sus administradores, las autoridades internacionales atacan la infraestructura que permite prosperar a los grupos de ransomware . Esta acción refleja un esfuerzo cada vez mayor por desmantelar las redes de apoyo de los ciberdelincuentes, en lugar de centrarse únicamente en los hackers individuales.

Zservidores: Un factor crítico en los ataques Ransomware

Zservers, con sede en Barnaul (Rusia), ha comercializado activamente servicios de BPH en foros de ciberdelincuentes, ofreciendo a los afiliados de LockBit acceso a direcciones IP, servidores y herramientas de red utilizadas para lanzar ataques de ransomware . El alojamiento a prueba de balas es un tipo de servicio de alojamiento en Internet que ofrece una mayor indulgencia hacia las actividades delictivas o ilícitas. Estos servicios están diseñados para resistir los esfuerzos de desmantelamiento de las fuerzas de seguridad y las empresas de ciberseguridad, por lo que son ideales para los ciberdelincuentes que necesitan alojar malware, sitios de suplantación de identidad, servidores de mando y control y otros contenidos ilegales.

En 2022, las fuerzas de seguridad canadienses descubrieron que un afiliado de LockBit utilizaba una dirección IP alquilada a Zservers para controlar malware de ransomware . En 2023, un ciberdelincuente ruso compró direcciones IP a Zservers, probablemente para utilizarlas como servidores de chat de LockBit para coordinar operaciones de ransomware . Zservers tiene un historial documentado de reasignación rápida de nuevas direcciones IP a afiliados de LockBit cuando las anteriores eran señaladas por las víctimas o las fuerzas de seguridad.

Como parte de la acción de hoy, la OFAC también ha designado a dos ciudadanos rusos, Alexander Igorevich Mishin y Aleksandr Sergeyevich Bolshakov, que actúan como administradores de Zservers. Mishin y Bolshakov han proporcionado a sabiendas apoyo de infraestructura a LockBit y han dirigido transacciones de moneda virtual para sostener operaciones de ransomware .

Lockbit despositando fondos a Zservers como se muestra en TRM Graph Visualizer
Instantánea de la exposición Ransomware a los servidores Z en el visualizador gráfico de TRM

Medidas internacionales coordinadas contra Ransomware

Las sanciones de hoy se basan en las recientes medidas internacionales de aplicación de la ley dirigidas contra el ecosistema del ransomware LockBit.

Febrero de 2024: Desmantelamiento de la infraestructura de LockBit

En febrero de 2024, una operación conjunta en la que participaron la Agencia Nacional contra el Crimen del Reino Unido, el Department of Justice Estados Unidos, el FBI y Europol desbarató la infraestructura central de LockBit. Esta operación condujo a la incautación de los servidores y sitios web controlados por LockBit, paralizando su capacidad para realizar nuevos ataques. La operación también permitió identificar a los afiliados de LockBit y sus transacciones financieras en la cadena. TRM Labsestimó que las direcciones controladas por los administradores y afiliados de LockBit recibieron más de 200 millones de dólares en transacciones de Bitcoin desde 2022, con más de 110 millones de dólares aún sin gastar en la cadena.

Mayo de 2024: Identificación del líder de LockBit

En mayo de 2024, los Estados Unidos y el Reino Unido sancionaron conjuntamente a Dmitry Yuryevich Khoroshev, el líder identificado de LockBit, que operaba bajo el alias "LockBitSupp". El Department of Justice EE.UU. desveló un acta de acusación contra Khoroshev, en la que se le acusa de conspiración para cometer fraude, extorsión y blanqueo de capitales. El Departamento de Estado de Estados Unidos anunció una recompensa económica por información que condujera a su detención.

Resultados de TRM Labs' Informe sobre la criptodelincuencia en 2025

Las sanciones contra Zservers se producen en medio de un fuerte aumento de los ataques de ransomware y de las tácticas de blanqueo. Según TRM Labsel ransomware sigue siendo una de las ciberamenazas de más rápido crecimiento, con 5.635 ataques denunciados públicamente en 2024, superando los 5.223 de 2023.

Los grupos de Ransomware exigen pagos récord, como el rescate de 75 millones de dólares pagado al grupo de ransomware Dark Angels en marzo de 2024. Los tradicionales mezcladores de criptomonedas están siendo sustituidos por puentes entre cadenas, que permiten a los delincuentes mover fondos a través de varias cadenas de bloques para eludir la detección. Han surgido nuevos grupos de ransomware , como Brain Cipher, dAn0n, DragonForce, Fog, Funksec, RansomHub, Sarcoma y Trinity, dirigidos a sectores críticos como la sanidad y las infraestructuras gubernamentales.

Una estrategia más amplia para combatir la ciberdelincuencia

La acción de hoy forma parte de un esfuerzo internacional más amplio para desarticular las redes de ransomware atacando no sólo a los propios atacantes, sino también a la infraestructura y a los facilitadores financieros que los sustentan.

"Los actoresRansomware y otros ciberdelincuentes dependen de proveedores de servicios de red de terceros como Zservers para permitir sus ataques contra la infraestructura crítica estadounidense e internacional", dijo el subsecretario interino del Tesoro para Terrorismo e Inteligencia Financiera Bradl Smith. "La acción trilateral de hoy con Australia y el Reino Unido subraya nuestra determinación colectiva de interrumpir todos los aspectos de este ecosistema criminal, dondequiera que se encuentren, para proteger nuestra seguridad nacional."

Con 2.200 millones de dólares robados en hackeos relacionados con criptomonedas en 2024, las autoridades están intensificando sus esfuerzos para desbaratar las redes de ciberdelincuentes. Al sancionar a proveedores de infraestructuras como Zservers, los gobiernos se esfuerzan por cortar las vías técnicas y financieras que permiten prosperar a los grupos de ransomware .

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
20 de febrero de 2024

La NCA británica, el DOJ estadounidense, FBI y Europol desarticulan el grupo de Ransomware Lockbit

flecha derecha
7 de mayo de 2024

Las autoridades estadounidenses y británicas identifican, sancionan y levantan acta de acusación contra el líder del grupo de Ransomware LockBit

flecha derecha
11 de octubre de 2024

El Ransomware en 2024: Últimas tendencias, amenazas crecientes y respuesta de los gobiernos

flecha derecha
10 de febrero de 2025

Ya está disponible: Informe 2025 sobre la criptodelincuencia

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Seleccione
Transaction Monitoring/Wallet Screening
Servicios de formación
Servicios de formación
 
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME