Países Baixos apreendem 800 servidores e prendem 2 pessoas por suspeita de apoiar ciberataques

 (krebsonsecurity.com)
1 pontos por GN⁺ 3 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • As autoridades neerlandesas prenderam dois co-proprietários de uma empresa de hospedagem sob suspeita de operar infraestrutura de TI usada em ciberataques, operações de influência e campanhas de desinformação da Rússia dentro da UE
  • A FIOD prendeu em 18 de maio um homem de 57 anos em Amsterdã e um homem de 39 anos em Haia, e apreendeu mais de 800 servidores e outros dispositivos em buscas a empresas e data centers
  • A investigação se concentra na Stark Industries, que surgiu pouco antes da invasão russa e apareceu repetidamente em ataques DDoS contra a Europa e em serviços de proxy e anonimização ligados a grupos de hackers pró-Rússia
  • Pouco antes das sanções da UE, os ativos da Stark foram transferidos da PQHosting para the[.]hosting, e foi identificado que essa entidade recebia conexão à internet apenas por meio da MIRhosting, sob a WorkTitans BV
  • A MIRhosting e Andrey Nesterenko negaram ajudar a burlar sanções e atividades ilegais, mas a WorkTitans suspendeu temporariamente seus serviços e iniciou uma investigação interna ligada à eleição dinamarquesa

Prisões e apreensão de servidores nos Países Baixos

  • O órgão neerlandês de investigação de crimes financeiros FIOD prendeu em 18 de maio um homem de 57 anos em Amsterdã e um homem de 39 anos em Haia, segundo reportagem do jornal neerlandês de Volkskrant
  • Os dois são suspeitos de violar a lei de sanções ao fornecer, direta ou indiretamente, recursos econômicos a alvos sancionados pela UE
  • Investigadores vasculharam três endereços comerciais em Enschede e Almere e dois data centers em Dronten e Schiphol-Rijk, apreendendo notebooks, telefones e mais de 800 servidores, segundo anúncio das autoridades neerlandesas
  • Uma mensagem enviada a clientes da the[.]hosting informou que, logo após a apreensão, os dados armazenados nos servidores foram perdidos e não poderiam ser recuperados

Stark Industries e suspeitas de evasão de sanções

  • A investigação neerlandesa tem como foco a grande provedora de hospedagem Stark Industries, que surgiu duas semanas antes da invasão russa da Ucrânia
  • A Stark serviu como origem de grandes ataques DDoS contra alvos europeus e ganhou destaque como importante fornecedora de serviços de proxy e anonimização que reapareceram em ataques ligados a grupos de hackers apoiados pela Rússia, conforme tratado em uma análise aprofundada de maio de 2024
  • Essa análise identificou os irmãos moldavos Ivan Neculiti e Yuri Neculiti, além da empresa deles, PQHosting, como responsáveis por um dos dois principais canais de conexão da Stark com a internet
  • Em maio de 2025, a UE sancionou a PQHosting e os irmãos Neculiti por supostamente ajudarem a conduzir a guerra híbrida da Rússia
  • No entanto, segundo uma reportagem de setembro de 2025, as sanções não atingiram o provedor neerlandês MIRhosting, o canal de conexão restante da Stark com a internet
  • Cerca de duas semanas antes do anúncio das sanções da UE contra a PQHosting e os irmãos Neculiti, informações relacionadas vazaram para a imprensa, e nesse intervalo os ativos de rede da Stark foram transferidos da PQHosting para uma nova entidade, the[.]hosting
  • A the[.]hosting estava sob controle da empresa neerlandesa WorkTitans BV, que, segundo a reportagem de setembro de 2025, era controlada por Andrey Nesterenko e Youssef Zinad
  • A WorkTitans recebia conexão com a internet mais ampla exclusivamente por meio da MIRhosting, e Zinad já havia trabalhado anteriormente na MIRhosting

Ataques durante a eleição dinamarquesa e a contestação da MIRhosting

  • O de Volkskrant analisou dados que mostram que WorkTitans e MIRhosting foram as redes mais usadas em ataques pró-Rússia contra órgãos do governo dinamarquês durante a semana das eleições locais da Dinamarca, de 13 a 19 de novembro de 2025
  • Antes de ser preso, Nesterenko negou saber que seus servidores estavam sendo usados indevidamente por cibercriminosos pró-Rússia
  • Nesterenko afirmou que encerrou todos os serviços com os irmãos Neculiti quando as sanções da UE entraram em vigor em maio de 2025, e declarou que poderia exercer todos os seus direitos contra “reportagens prejudiciais e imprecisas”
  • A MIRhosting divulgou uma declaração informando que iniciou uma investigação interna sobre as acusações relacionadas à eleição dinamarquesa e que, como medida preventiva durante revisão adicional, suspendeu temporariamente os serviços para a WorkTitans
  • A MIRhosting afirmou que sua investigação preliminar não encontrou sinais de que os serviços sob seu controle tenham sido realmente usados para influenciar a eleição dinamarquesa
  • Segundo a MIRhosting, não foram observadas anomalias nem picos no tráfego de rede durante o período, e, se tivesse havido um grande ataque DDoS, essa atividade teria aparecido
  • A MIRhosting afirmou ainda que, antes da reportagem da imprensa, não havia recebido reclamações, abuse report ou solicitações oficiais relacionadas a atividade suspeita ou uso indevido da rede, e que os serviços para outros clientes seguem funcionando normalmente

Histórico de Andrey Nesterenko e da MIRhosting

  • Andrey Nesterenko fundou em 2004 a Innovation IT Solutions Corp., empresa controladora da MIRhosting
  • A Innovation IT Solutions Corp. é citada como a empresa que hospedou o site hacktivista stopgeorgia[.]ru, que surgiu quando o Exército russo invadiu a Geórgia em 2008
  • O stopgeorgia[.]ru era um site para organizar ciberataques contra a Geórgia, e o conflito é descrito como a primeira guerra em que ciberataques visíveis e confrontos militares reais ocorreram ao mesmo tempo
  • Em resposta por e-mail, Nesterenko afirmou que a MIRhosting não apoia cibercrime, evasão de sanções nem atividades ilegais, e que as acusações e prisões feitas pelas autoridades neerlandesas são extremamente prejudiciais para ele e para a empresa
  • Nesterenko alegou que a transição para a the[.]hosting não teve como objetivo burlar sanções, e que o hardware e a carteira de clientes já haviam sido transferidos para a WorkTitans antes do surgimento das sanções
  • Nesterenko disse que fechar ou prejudicar uma empresa legítima de infraestrutura neerlandesa não impedirá o cibercrime e causará danos a muitas pessoas que não fizeram nada de errado

O papel de Youssef Zinad

  • Há muito menos informações públicas sobre Youssef Zinad, e relatos indicam que ele manteve perfil discreto desde a reportagem de 2025
  • Nesterenko afirmou que Zinad não era funcionário da MIRhosting e que o auxiliava, assim como à MIRhosting, em tarefas comerciais específicas sob um contrato B2B comum entre empresas
  • No entanto, em um e-mail anterior enviado ao KrebsOnSecurity, Nesterenko incluiu em cópia Zinad, que usava um endereço @mirhosting.com, e o descreveu como parte da equipe jurídica da empresa
  • O site neerlandês stagemarkt[.]nl lista Youssef Zinad como contato oficial do escritório da MIRhosting em Almere
  • O de Volkskrant informou que Zinad bloqueou o acesso à sua conta no LinkedIn, não respondeu por meses a e-mails, WhatsApp e telefonemas, e depois foi preso em uma residência em Amsterdã

Leituras relacionadas

1 comentários

 
GN⁺ 3 시간 전
Comentários do Hacker News

  • É preciso destacar que essas empresas dificilmente podem ser vistas como empresas de hospedagem legítimas. Não é só uma questão de se preocupar com servidores no exterior sem KYC; parecem mais empresas de fachada dos serviços de inteligência russos, pertencentes a agentes desses mesmos serviços, sem outros negócios reais, e que nem sequer ofereceriam hospedagem ao público em geral, mesmo que alguém quisesse
    Na Alemanha, já aconteceu de alguém se cadastrar em um provedor de e-mail (pissmail) e enviar spam, e o provedor acabou indo para a prisão; por causa disso, eu perdi várias das minhas contas de redes sociais

    • A parte de que “não oferecem hospedagem ao público em geral” não parece correta. Já usei a PQ.Hosting no passado quando precisei urgentemente de uma VPS temporária, e havia vários outros usuários legítimos também
      Eles não exigiam muita coisa, mas chegavam a bloquear usuários à toa até mesmo por torrent, então não era um nível significativo de hospedagem à prova de balas. Havia uma grande chance de estarem envolvidos em algo suspeito, e a qualidade dos IPs era péssima, mas eles de fato prestavam um serviço legítimo
    • Essa afirmação precisa de uma fonte para sustentá-la. Sem isso, parece praticamente uma teoria da conspiração

  • Durante toda a minha carreira em segurança, estive do lado da defesa
    Eu sei que, em alguns mercados, o crime dá mais dinheiro do que trabalho legítimo, mas sempre me surpreende o quanto de reflexão, esforço, planejamento e engenharia entra em fornecer serviços de infraestrutura de TI para cibercriminosos. As pessoas envolvidas claramente têm capacidade para ganhar muito dinheiro com trabalho legítimo, então é difícil entender por que escolhem apoiar criminosos

    • Já vi uma pessoa com bom emprego, carreira e família entrar no cibercrime, se afundar e acabar na prisão
      Pelo que entendi, ele gostava da emoção de se sentir superior ao driblar a lei, explorar pessoas que considerava burras e ganhar dinheiro no processo
      Olhando para trás, ele foi pego por um erro realmente idiota. Parece que confiava tanto na própria superioridade intelectual e na suposta estupidez dos outros que acabou achando que ninguém jamais conseguiria pegá-lo
    • Seguir pelo caminho legítimo nem sempre é fácil. Especialmente no mercado de trabalho atual, isso depende ainda mais do lugar onde você mora
      Os EUA são um mercado atípico com salários altos em tecnologia, e esse tipo de trabalho puramente operacional já fica na faixa mais baixa desses salários altos. Em países onde o salário médio de administrador de sistemas é muito menor, por exemplo no Leste Europeu, algo em torno de US$ 30 mil a US$ 35 mil por ano, não é difícil entender por que o cibercrime pode parecer tentador
    • Basta imaginar trabalhar em uma organização em que 1) a cibersegurança realmente é prioridade máxima, mais do que frases como “valor para o acionista”; 2) você projeta sistemas partindo da premissa de que todos os outros atores são maliciosos; 3) o orçamento é praticamente ilimitado; e 4) você ganha várias vezes mais do que em empresas privadas
      É um ambiente sem exceções comuns do tipo “fazemos zero trust, mas toda a control plane é gerenciada pelo Azure, então não tem jeito”
    • É melhor não pensar nisso como “fornecer serviços de infraestrutura de TI para cibercriminosos”. Isso faz parecer que essas pessoas são, por essência, profissionais de TI que operam infraestrutura e apenas coincidentemente atendem esse tipo de cliente
      O mais provável é que vários grupos de cibercrime, sem conseguir encontrar hospedagem que os aceitasse, tenham feito o trabalho pesado de montar sua própria infraestrutura de TI de backend e, a partir da infraestrutura já construída, seguido por alguns caminhos possíveis
      Primeiro, percebem que sua necessidade revela uma demanda mais ampla e não atendida por hospedagem “sem perguntas e sem explicações”, e passam a oferecer hospedagem como atividade paralela
      Segundo, entendem que, em situações como o registro de ASN, quanto mais convincente parecer o disfarce de uma empresa de hospedagem inventada, melhor isso funciona como proteção, então colam por cima uma fachada de site de hospedagem sem clientes reais nem plano de controle
      Terceiro, concluem que ter clientes reais gerando tráfego legítimo a partir do ASN torna tudo mais legítimo e faz outros ASNs hesitarem em bloquear a faixa inteira, então montam de fato, em algum servidor caído por aí, algo no nível de um provedor comum de VPS. Em geral, é mais provável que seja um equipamento turnkey de IaaS velho e tosco comprado em um mercado de cibercrime do que algo como OpenStack
      Quarto, e esse parece ser o caminho mais comum, conversam com amigos cibercriminosos, que pedem “já que vocês construíram algo próprio, podem hospedar a gente também?”, e isso vai evoluindo gradualmente para uma operação de hospedagem de fato. À medida que vão aceitando mais clientes desse tipo, de alto contato e vindos no boca a boca, a configuração manual vira um peso e eles acabam começando a automatizar
    • Seguir para um cargo legítimo em tecnologia não é assim tão fácil. Hoje em dia, empregos em tecnologia já são quase um luxo por si só

  • Quando eu estava aprendendo com homelab e configurando o pfSense, conseguia ver de que regiões vinham os scans e ataques ao IP da internet da minha casa. Fiquei surpreso com o fato de a Holanda aparecer em um nível parecido com Rússia e China, e bloqueei a região inteira
    Fico curioso sobre por que a Holanda é tão atraente para esse pessoal

    • Porque os servidores estão lá. Basta olhar o número de nós Tor localizados na Holanda. Isso não significa que os operadores reais estejam na Holanda
    • Provavelmente por causa da alta largura de banda e de penas relativamente brandas

  • Se você tem curiosidade sobre data centers infames, vale a pena olhar o CyberBunker. Conceitualmente é interessante, e isso também fica na Holanda
    https://en.wikipedia.org/wiki/CyberBunker

  • É absurdo ler que “as sanções não conseguiram atingir a conexão restante de Stark com a internet, ou seja, o provedor de serviços de internet holandês MIRhosting”. Eu passo em frente ao escritório da mirhosting todos os dias

  • Seria bom também divulgar os nomes e denunciar quem pagou para que os ataques fossem executados

    • Se for o FSB, o que dá para fazer? A Rússia derrubou um avião comercial cheio de cidadãos holandeses e praticamente não houve consequências
    • As autoridades geralmente não falam sobre investigações em andamento