As autoridades dos EUA foram acusadas de autorizar carteiras criptográficas associadas ao grupo AEZA russo, permitindo operações de ransomware e o mercado de Darknet.
De acordo com o Bureau of Exterior de Ativos Estrangeiros (OFAC) do Ministério das Finanças, a designação tem como alvo toda a infraestrutura cibernética do grupo AEZA, incluindo quatro indivíduos em entidades relacionadas e funções de liderança.
Diz -se que o grupo forneceu serviços de hospedagem à prova de balas que permitem que operadores de ransomware, distribuidores de malware e fornecedores da Darknet operem com impunidade, contornando a detecção e a aplicação da lei.
As sanções foram estendidas à AEZA International Ltd., uma empresa de frente do Reino Unido. Ele alugou endereços IP para duas subsidiárias russas AEZA Logistic LLC e Cloud Solutions LLC.
A OFAC também designou quatro executivos seniores, incluindo o CEO Arseni Penzev e o diretor geral Yurii Bozoyan.
A infraestrutura da AEZA está supostamente apoiando grupos como operadores de infotealer Meduza e Lumma, Ransomware Bianlian, painéis da Infotealer da Redline e o agora depreciado mercado de Blacksprut. Esses serviços permitiram que os atores de ameaças roubassem dados confidenciais e os fundos sifões de vítimas globais, incluindo usuários de criptografia.
O endereço criptográfico especificado hospedado no blockchain de Tron foi identificado como a carteira de administrador usada para receber pagamentos pelos serviços da AEZA. De acordo com a análise da cadeia, as carteiras vazaram pagamentos através de mais de US $ 350.000 em processadores de criptografia e terceiros, obscurecendo as trilhas financeiras e dificultando o rastreamento.
Os investigadores teriam descoberto que a carteira recebeu pagamentos diretamente de clientes, incluindo fornecedores da InfoStealer, e encaminhou fundos ilegais para várias trocas de criptomoedas.
Outro relatório da empresa de inteligência da blockchain TRM Labs suporta essas descobertas, observando que o endereço designado mostrou “pontos normais de saída para a troca global de criptomoedas” e provedores de serviços de pagamento.
Os analistas observaram que os padrões de pagamento correspondiam aos preços conhecidos dos serviços de hospedagem da AEZA, sugerindo que os fornecedores da InfoStealer e outros atores de ameaças provavelmente estão entre os clientes do grupo.
O TRM também identificou links entre a carteira e outras plataformas de crimes cibernéticos por meio de um endereço intermediário, incluindo conexões com a autorizada Crypto Exchange Garantex.
A TRM disse que o site vinculado à AEZA e suas afiliadas ficaram offline logo após o anúncio da designação.
“A designação de hoje destaca a tendência contínua de expandir o foco das autoridades em interromper não apenas os atores de ameaças individuais, mas também a infraestrutura que permite as empresas”, disse o TRM.
“O papel do grupo AEZA na promoção do crime cibernético global demonstra como os provedores de infraestrutura podem servir como facilitadores -chave e possíveis pontos de pressão para a aplicação da lei e os reguladores”.
No início deste ano, a OFAC liderou um esforço coordenado com o Reino Unido e a Austrália para sancionar outro provedor de hospedagem à prova de balas na Rússia, Zervers, para fornecer infraestrutura às gangues de ransomware russo.
OFAC tem como alvo carteiras de criptografia
Além da infraestrutura, o OFAC também se concentra no desmantelamento do financiamento cibernético baseado em criptografia. Em abril, a agência aprovou oito discursos de código que o movimento houthi do Iêmen usou para financiar as compras de armas e atividades terroristas. Os dados na cadeia mostraram que mais de US $ 45 milhões passaram pelo Garantex em conexão com essas operações.
Da mesma forma, em março da ACAC na lista negra de 49 carteiras criptográficas amarradas a Nemesis, um mercado de Darknet administrado pelo nacional iraniano Behrouz Parsarad. O site está envolvido no tráfico de fentanil e outros medicamentos sintéticos e, em 2024, usou o Bitcoin e o Monero para processar quase US $ 30 milhões em vendas antes do ataque.
