Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Perspectives
11 février 2025

Les États-Unis, le Royaume-Uni et l'Australie ciblent les serveurs Zservers et les affiliés de LockBit

Perspectives TRMPerspectives
Les États-Unis, le Royaume-Uni et l'Australie ciblent les serveurs Zservers et les affiliés de LockBit

Aujourd'hui, l'Office of Foreign Assets Control (OFAC) du ministère américain du Trésor, en coordination avec le ministère australien des affaires étrangères et du commerce et le Foreign, Commonwealth & Development Office du Royaume-Uni, a annoncé des sanctions à l'encontre de Zservers, un fournisseur de services d'hébergement à l'épreuve des balles basé en Russie, pour son rôle dans le soutien des attaques de LockBit Rançonlogiciel . Les désignations concernent plusieurs employés et administrateurs de Zservers, ainsi que la société de façade britannique de Zservers, XHOST Internet Solutions LP.

LockBit est l'une des variantes de Rançonlogiciel les plus largement déployées et a été à l'origine de cyberattaques majeures, dont la violation, en novembre 2023, du courtier américain de l'Industrial Commercial Bank of China. Zservers a joué un rôle essentiel dans la facilitation des opérations de LockBit en fournissant une infrastructure spécialisée conçue pour échapper à la détection des forces de l'ordre et aux défenses de cybersécurité.

Zservers a également pris en charge d'autres variantes de Rançonlogiciel , notamment Dharma, Hive, VoidCrypt et Venus Rançonlogiciel. 

Sites d'hébergement à l'épreuve des balles

Un site d'hébergement à l'épreuve des balles (BPH ) est un service d'hébergement web qui fournit une infrastructure conçue pour échapper à la détection et aux efforts de démantèlement des forces de l'ordre. Ces hébergeurs se présentent souvent comme tolérant les activités illégales ou contraires à l'éthique, offrant une protection contre les saisies de domaine, les plaintes en justice et la surveillance de la cybersécurité.

Les hébergeurs à l'épreuve des balles sont connus pour leur résistance aux actions des forces de l'ordre. Ils ignorent généralement les rapports d'abus émanant des autorités et des entreprises de cybersécurité, ce qui permet aux cybercriminels de poursuivre leurs activités sans interruption. Nombre de ces services opèrent dans des juridictions où la répression de la cybercriminalité est faible, ce qui complique la tâche des autorités internationales lorsqu'il s'agit de les faire fermer.

L'anonymat est une autre caractéristique clé des sites d'hébergement à l'épreuve des balles. Ces fournisseurs acceptent souvent les paiements en crypto-monnaies et n'exigent que peu ou pas de vérification de la part des clients, ce qui rend difficile la traçabilité des personnes qui utilisent leurs services. Lorsque les serveurs sont signalés ou mis sur liste noire, les opérateurs d'hébergement à l'épreuve des balles réaffectent rapidement de nouvelles adresses IP ou relocalisent les services dans différentes juridictions pour éviter d'être fermés.

Ces services d'hébergement sont largement utilisés par les cybercriminels pour des activités telles que les opérations de Rançonlogiciel , les campagnes de phishing, la distribution de logiciels malveillants, les réseaux de zombies et les marchés du darknet. Les groupes de Rançonlogiciel , par exemple, utilisent l'hébergement à l'épreuve des balles pour exploiter des serveurs de commande et de contrôle qui gèrent les infections de Rançonlogiciel . Les opérations d'hameçonnage et de fraude s'appuient sur ces services pour héberger des sites bancaires frauduleux, des opérations d'usurpation d'identité et des campagnes de vol d'informations d'identification. Les botnets, qui lancent des attaques par déni de service distribué (DDoS), utilisent souvent un hébergement à toute épreuve pour rester en ligne même après avoir été identifiés par les chercheurs en cybersécurité. Les marchés du Darknet qui facilitent la vente de drogues, d'armes et de données volées dépendent également de ces services d'hébergement pour poursuivre leurs activités.

Zservers, le fournisseur d'hébergement basé en Russie sanctionné aujourd'hui par l'OFAC, a été identifié comme l'un des principaux facilitateurs des affiliés de LockBit Rançonlogiciel . Les enquêtes ont montré que Zservers louait des adresses IP, des serveurs et des outils de mise en réseau qui ont été utilisés dans les attaques de Rançonlogiciel . Les administrateurs de Zservers ont également facilité les transactions en crypto-monnaie pour soutenir ces opérations cybercriminelles.

En sanctionnant Zservers et ses administrateurs, les autorités internationales s'attaquent à l'infrastructure qui permet aux groupes de Rançonlogiciel de prospérer. Cette action reflète un effort croissant pour démanteler les réseaux de soutien aux cybercriminels, plutôt que de se concentrer sur les pirates individuels.

Zservers : Un outil essentiel pour les attaques de Rançonlogiciel

Zservers, dont le siège se trouve à Barnaul, en Russie, a activement commercialisé les services BPH sur des forums cybercriminels, offrant aux affiliés de LockBit l'accès aux adresses IP, aux serveurs et aux outils de mise en réseau utilisés pour lancer des attaques Rançonlogiciel . L'hébergement à l'épreuve des balles est un type de service d'hébergement Internet qui offre une plus grande indulgence à l'égard des activités criminelles ou illicites. Ces services sont conçus pour résister aux efforts de démantèlement des forces de l'ordre et des entreprises de cybersécurité, ce qui les rend idéaux pour les cybercriminels qui ont besoin d'héberger des logiciels malveillants, des sites d'hameçonnage, des serveurs de commande et de contrôle et d'autres contenus illégaux.

En 2022, les autorités canadiennes ont découvert qu'un affilié de LockBit utilisait une adresse IP louée par Zservers pour contrôler le logiciel malveillant Rançonlogiciel . En 2023, un cybercriminel russe a acheté des adresses IP à Zservers, probablement pour les utiliser comme serveurs de chat de LockBit afin de coordonner les opérations de Rançonlogiciel . Zservers a l'habitude de réattribuer rapidement de nouvelles adresses IP aux affiliés de LockBit lorsque les précédentes ont été signalées par les victimes ou les forces de l'ordre.

Dans le cadre de cette action, l'OFAC a également désigné deux ressortissants russes, Alexander Igorevich Mishin et Aleksandr Sergeyevich Bolshakov, qui sont administrateurs de Zservers. Mishin et Bolshakov ont sciemment fourni un soutien d'infrastructure à LockBit et dirigé des transactions en monnaie virtuelle pour soutenir les opérations de Rançonlogiciel .

Lockbit déposant des fonds à Zservers comme indiqué dans TRM Graph Visualizer
Instantané de l'exposition de Rançonlogiciel aux Zservers dans le visualisateur de graphes de TRM

‍Unerépression internationale coordonnée contre le Rançonlogiciel

Les sanctions prises aujourd'hui s'inscrivent dans le prolongement des récentes mesures d'application internationales visant l'écosystème du LockBit Rançonlogiciel .

Février 2024 : Démantèlement de l'infrastructure de LockBit

En février 2024, une opération conjointe de la National Crime Agency britannique, du Department of Justice, du FBI et d'Europol a perturbé l'infrastructure centrale de LockBit. Cette opération a conduit à la saisie de serveurs et de sites web contrôlés par LockBit, réduisant ainsi leur capacité à mener de nouvelles attaques. L'opération a également permis d'identifier les affiliés de LockBit et leurs transactions financières sur la chaîne. TRM Labsa estimé que les adresses contrôlées par les administrateurs et les affiliés de LockBit ont reçu plus de 200 millions d'USD de transactions en bitcoins depuis 2022, et que plus de 110 millions d'USD n'ont pas encore été dépensés sur la chaîne.

Mai 2024 : Identification du leader de LockBit

En mai 2024, les États-Unis et le Royaume-Uni ont sanctionné conjointement Dmitry Yuryevich Khoroshev, le leader identifié de LockBit, opérant sous le pseudonyme "LockBitSupp". Le Department of Justice a publié un acte d'accusation à l'encontre de Khoroshev, l'accusant de conspiration en vue de commettre une fraude, d'extorsion et de blanchiment d'argent. Le département d'État américain a annoncé une récompense financière pour toute information conduisant à son arrestation.

Les conclusions de TRM Labs' 2025 Crypto Crime Report

Les sanctions à l'encontre de Zservers interviennent dans un contexte de forte augmentation des attaques de Rançonlogiciel et de changement des tactiques de blanchiment. Selon TRM Labsle Rançonlogiciel reste l'une des cybermenaces à la croissance la plus rapide, avec 5 635 attaques signalées publiquement en 2024, contre 5 223 en 2023.

Les groupes de Rançonlogiciel exigent des paiements records, notamment une rançon de 75 millions de dollars versée au groupe Dark Angels Rançonlogiciel en mars 2024. Les mélangeurs traditionnels de crypto-monnaies sont remplacés par des ponts entre chaînes, qui permettent aux criminels de transférer des fonds entre plusieurs chaînes de blocs afin d'échapper à la détection. De nouveaux groupes de Rançonlogiciel , dont Brain Cipher, dAn0n, DragonForce, Fog, Funksec, RansomHub, Sarcoma et Trinity, sont apparus, ciblant des secteurs critiques tels que les soins de santé et les infrastructures gouvernementales.

Une stratégie plus large pour lutter contre la cybercriminalité

L'action d'aujourd'hui s'inscrit dans le cadre d'un effort international plus large visant à perturber les réseaux de Rançonlogiciel en ciblant non seulement les attaquants eux-mêmes, mais aussi l'infrastructure et les facilitateurs financiers qui les soutiennent.

"Les acteurs duRançonlogiciel et d'autres cybercriminels s'appuient sur des fournisseurs de services réseau tiers tels que Zservers pour mener leurs attaques contre les infrastructures critiques américaines et internationales", a déclaré Bradl Smith, sous-secrétaire d'État au Trésor chargé du terrorisme et du renseignement financier. "L'action trilatérale menée aujourd'hui avec l'Australie et le Royaume-Uni souligne notre détermination collective à perturber tous les aspects de cet écosystème criminel, où qu'il se trouve, afin de protéger notre sécurité nationale".

Avec 2,2 milliards de dollars dérobés lors de piratages liés aux cryptomonnaies en 2024, les autorités redoublent d'efforts pour perturber les réseaux cybercriminels. En sanctionnant des fournisseurs d'infrastructure tels que Zservers, les gouvernements s'efforcent de couper les lignes de vie techniques et financières qui permettent aux groupes de Rançonlogiciel de prospérer.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
20 février 2024

La NCA britannique, le DOJ américain, le FBI et Europol perturbent le groupe Lockbit Rançonlogiciel

flèche vers la droite
7 mai 2024

Les autorités américaines et britanniques identifient, sanctionnent et scellent l'acte d'accusation contre le dirigeant du groupe LockBit Rançonlogiciel

flèche vers la droite
11 octobre 2024

Rançonlogiciel en 2024 : Les dernières tendances, les menaces croissantes et la réponse des gouvernements

flèche vers la droite
10 février 2025

Maintenant en ligne : Le rapport 2025 sur la criminalité dans le secteur des cryptomonnaies

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT