ZServers (ook bekend onder de handelsnaam XHOST Internet Solutions LP) was een bulletproof hostingprovider met vestigingen/relevantie in Nederland en het Verenigd Koninkrijk. Het bedrijf adverteerde dat klanten vanaf hun servers strafbare handelingen konden plegen en anoniem zouden blijven, met betaling in cryptocurrency (Politie.nl, 13 februari 2025).

Uit onderzoek bleek dat op hun servers malware werd verspreid, botnets werden gehost en ransomware-infrastructuur draaide. Tijdens de inval trof de politie bijvoorbeeld specifieke hacktools aan van de notoire ransomwaregroepen Conti en LockBit.

Opsporing

De Nederlandse politie in Amsterdam startte ongeveer een jaar eerder (begin 2024) een onderzoek naar ZServers/XHost na signalen over deze criminele activiteiten. ZServer maakte reclame op internet waarin zij criminelen anonimiteit en immuniteit beloofden.

Op 12 februari 2025 heeft het Cybercrime-team Amsterdam een inval gedaan bij een datacentrum in Amsterdam. Bij de inval in Amsterdam heeft de politie 127 servers van ZServers/XHost offline gehaald en in beslag genomen.

Arrestaties en jurisprudentie

Op de actiedag op 12 februari 2025 werden geen personen aangehouden. Het bedrijf zou ‘betrokkenheid hebben bij onder andere computervredebreuk (ex. Artikel 138ab Wetboek van Strafrecht)’.

De autoriteiten in de Verenigde Staten, het Verenigd Koninkrijk en Australië sancties uitgevaardigd tegen ZServers en zijn vermoedelijke beheerders (zie state.gov, 11 februari 2025 en cyber.gov.au, 12 februari 2025). Deze sancties houden in dat genoemde personen financieel worden geïsoleerd (tegoeden bevroren, reisbeperkingen) vanwege het faciliteren van LockBit-ransomware.

Strengere regels voor hosting industrie?

Op 20 maart 2025 verscheen er een brief van de Politie Amsterdam, de burgermeester en het OM dat de huidige strafwetgeving nog knelpunten kent en zij pleiten voor strengere “know-your-customer”-regels voor hostingbedrijven (zie ook de Volkskrant).