Aeza Group, một công ty lưu trữ của Nga cung cấp hỗ trợ cho tin tặc và dark web, đã bị xử phạt

Tiêu đề gốc: "Aeza Group, nhà cung cấp dịch vụ của Nga đứng sau tin tặc, dark web và thị trường ma túy, đã bị trừng phạt"

Tác giả gốc: Lisa, Liz, SlowMist Technology

Bối cảnh

Gần đây, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ đã công bố lệnh trừng phạt đối với Aeza Group có trụ sở tại Nga và các thực thể liên kết với lý do công ty này cung cấp dịch vụ lưu trữ cho phần mềm tống tiền và các công cụ đánh cắp thông tin.

(https://home.treasury.gov/news/press-releases/sb0185)

Các lệnh trừng phạt bao gồm Aeza Group và công ty con tại Anh là Aeza International Ltd., hai công ty con tại Nga (Aeza Logistic LLC và Cloud Solutions LLC), bốn giám đốc điều hành (CEO Arsenii Penzev, Giám đốc Yurii Bozoyan, Giám đốc Kỹ thuật Vladimir Gast và Quản trị viên Igor Knyazev), và một ví tiền điện tử (TU4tDFRvcKhAZ1jdihojmBWZqvJhQCnJ4F).

"Tội phạm mạng tiếp tục phụ thuộc rất nhiều vào các nhà cung cấp dịch vụ lưu trữ an toàn như Aeza Group để phát động các cuộc tấn công ransomware phá hoại, đánh cắp công nghệ của Hoa Kỳ và bán ma túy chợ đen", Bradley T. Smith, Quyền Thứ trưởng Bộ Tài chính phụ trách Chống khủng bố và Tình báo Tài chính, cho biết. "Bộ Tài chính sẽ tiếp tục hợp tác chặt chẽ với Vương quốc Anh và các đối tác quốc tế khác để kiên quyết tiết lộ các nút thắt, cơ sở hạ tầng và nhân sự chủ chốt hỗ trợ hệ sinh thái tội phạm này."

Hành động trừng phạt này cho thấy các cơ quan thực thi pháp luật quốc tế đang mở rộng trọng tâm từ chính những kẻ tấn công sang cơ sở hạ tầng kỹ thuật và các nhà cung cấp dịch vụ đằng sau chúng. Bài viết này sẽ phân tích bối cảnh và phương thức hoạt động của Aeza Group, đồng thời kết hợp phân tích MistTrack, một công cụ theo dõi và chống rửa tiền trên chuỗi, để khôi phục vai trò của nó trong hệ sinh thái tội phạm.

Aeza Group là ai?

(https://www.pcmag.com/news/us-sanctions-russian-web-hosting-provider-aeza-for-fueling-malware)

Aeza Group là nhà cung cấp dịch vụ lưu trữ chống đạn (BPH) có trụ sở chính tại St. Petersburg, Nga. Công ty từ lâu đã cung cấp máy chủ chuyên dụng và dịch vụ lưu trữ ẩn danh cho các nhóm tội phạm mạng như các băng nhóm ransomware, những kẻ điều hành công cụ đánh cắp thông tin (infostealers) và các nền tảng buôn bán ma túy bất hợp pháp.

Khách hàng của công ty bao gồm: các nhà điều hành công cụ đánh cắp thông tin khét tiếng như Lumma và Meduza, những kẻ đã phát động các cuộc tấn công vào cơ sở công nghiệp quốc phòng Hoa Kỳ và các công ty công nghệ toàn cầu; các băng nhóm ransomware và đánh cắp dữ liệu BianLian và RedLine; và Blacksprut, một thị trường ma túy web đen nổi tiếng của Nga. Aeza không chỉ cung cấp dịch vụ lưu trữ cho Blacksprut mà còn tham gia vào việc xây dựng kiến trúc kỹ thuật của công ty này. Theo tiết lộ của OFAC, Blacksprut được sử dụng rộng rãi để phân phối fentanyl và các loại ma túy tổng hợp khác trên toàn cầu, gây ra mối đe dọa nghiêm trọng đến an toàn công cộng.

Phân tích MistTrack

Theo nền tảng theo dõi và chống rửa tiền trên chuỗi MistTrack, địa chỉ bị xử phạt (TU4tDFRvcKhAZ1jdihojmBWZqvJhQCnJ4F) đã hoạt động từ năm 2023 và đã nhận được hơn 350.000 đô la Mỹ bằng USDT.

Theo phân tích của MistTrack, địa chỉ này tương tác với các đối tượng sau:

· Chuyển tài sản sang nhiều nền tảng giao dịch/OTC nổi tiếng, chẳng hạn như Cryptomus, WhiteBIT, v.v., để rửa tiền;

· Liên kết với các thực thể bị trừng phạt, chẳng hạn như Garantex và Lumma;

· Liên kết với nền tảng Stealer-as-a-Service được quảng bá trên Telegram;

· Liên kết với các địa chỉ liên quan đến thị trường ma túy dark web Blacksprut.

Theo phân tích hàm đối tác của MistTrack, tỷ lệ các đối tượng tương tác của địa chỉ này như sau:

Ngoài ra, chúng tôi cũng phát hiện ra rằng vào ngày 2 tháng 7, Telegram của Aeza vẫn hoạt động và quản trị viên đã phát hành một URL thay thế trong trường hợp người dùng không thể đăng nhập thành công vào trang web chính:

Sau khi điều tra, chúng tôi phát hiện ra rằng thời điểm tạo ra hai URL sao lưu này trùng khớp với ngày OFAC công bố lệnh trừng phạt Aeza.

Kết luận

Các lệnh trừng phạt đối với Tập đoàn Aeza cho thấy sự giám sát toàn cầu đang mở rộng mục tiêu tấn công từ những kẻ tấn công sang mạng lưới dịch vụ kỹ thuật đằng sau chúng. Các đơn vị giám sát, công cụ giao tiếp ẩn danh và kênh thanh toán đang trở thành trọng tâm mới của các đợt siết chặt tuân thủ. Đối với các doanh nghiệp, nền tảng giao dịch và nhà cung cấp dịch vụ, KYC/KYT không còn là "câu hỏi tùy chọn" nữa. Nếu vô tình có mối quan hệ kinh doanh với các đối tượng rủi ro cao, bạn có thể phải đối mặt với nguy cơ bị trừng phạt chung.

Liên kết gốc