制裁背景
美國財政部與英國和澳洲宣布對俄羅斯的“防彈”主機提供商進行聯合制裁,這些提供商支持大量勒索軟體運營和反覆的分散式阻斷服務(DDoS)攻擊,目標是針對美國及其盟國的組織。此次行動集中於位於聖彼得堡的Media Land主機運營商,以及多家相關公司和個人。
Media Land的角色
Media Land長期以來為一些高影響力的勒索軟體組織提供基礎設施支持,包括Lockbit、BlackSuit和Play等。此外,美國財政部指出,Media Land的伺服器也參與了多起針對美國企業和關鍵基礎設施的DDoS攻擊。
這家提供商利用典型的防彈主機模式運作:快速提供伺服器、最低限度的驗證、迅速更換被濫用的資源,並積極採取措施來規避下架。美國財政部海外資產控制辦公室(OFAC)還制裁了ML Cloud、Media Land Technology和Data Center Kirishi,這些公司在勒索和DDoS活動中經常被一同使用。
牽涉的人員
包括董事Aleksandr Volosovik(網名Yalishanda)和員工Kirill Zatolokin在內的領導人被指控負責運營和維護服務、處理付款,並為網絡犯罪客戶提供操作支持。
持續對Aeza Group施壓
制裁還擴大到英國的Hypercore有限公司,該公司與早些時候已被制裁的Aeza Group有聯繫。在最初的制裁後,Aeza嘗試重新品牌並通過新前公司遷移基礎設施。OFAC現在將Hypercore以及塞爾維亞和烏茲別克的Smart Digital Ideas DOO和Datavice MCHJ列為更廣泛制裁規避努力的一部分。
參與這一活動的個人,包括Maksim Makarov和Ilya Zakirov,也因協助基礎設施移動和建立新支付管道而被指控。
防禦者的應對措施
對於網絡防禦者和服務提供商來說,此公告重申了熟悉的模式:大規模DDoS操作嚴重依賴於具有強抗性且不易被察覺的主機網絡。防彈主機因提供攻擊者發動和維持活動所需的帶寬、持久性和操作自由而成為關鍵支持者。
制裁基礎設施運營商並不能消除互聯網上的所有惡意能力,但它增加了攻擊者的摩擦。這破壞了付款流程,迫使他們遷移,並常常導致其主機基礎設施的暫時不穩定。防禦者可以預期在這些行為者嘗試將工作負載從新制裁的網絡上轉移時,指揮和控制端點以及DDoS協調節點會有一些短期的移動。
組織的指導
美國網絡安全和基礎設施安全局(CISA)和國際合作夥伴也發布了更新的指南,幫助識別和減輕與防彈主機提供商相關的風險。組織應持續監控與快速移動或頻繁重新分配基礎設施相關的流量模式,這是防彈主機支持的DDoS操作的常見指標。
FastNetMon將繼續跟踪主機生態系統的發展,並在新的基礎設施趨勢和威脅行為出現時分享更新。
關於FastNetMon
FastNetMon是領先的網絡安全解決方案,提供先進的DDoS檢測和緩解功能。憑藉實時分析和快速響應能力,FastNetMon幫助組織保護其基礎設施免受不斷演變的網絡威脅。更多信息請訪問FastNetMon官網。