Będzie mniej ataków ransomware - 4 Rosjan aresztowanych

Centralne Biuro Zwalczania Cyberprzestępczości poinformowało, że w ubiegłym tygodniu międzynarodowa akcja organów ścigania doprowadziła do zatrzymania 4 osób kierujących grupą ransomware 8Base.

Zatrzymane osoby, wszystkie narodowości rosyjskiej, są podejrzane o wykorzystywanie złośliwego oprogramowania Phobos w celu wymuszania wysokich okupów od pokrzywdzonych w całej Europie, jak i poza jej granicami.

Zabezpieczono 27 serwerów powiązanych z grupą przestępczą.

Analiza zagrożeń zidentyfikowała Phobos i 8Base jako jedne z najbardziej aktywnych grup ransomware w 2024 r.

Wydarzenia poprzedziły niezwykle istotne zatrzymania związane z ransomware Phobos:

• Administrator Phobos został zatrzymany w Korei Południowej w czerwcu 2024 roku, a następnie poddany ekstradycji do Stanów Zjednoczonych w listopadzie tego samego roku. Aktualnie odpowiada przed sądem za kierowanie atakami ransomware, które szyfrowały infrastrukturę krytyczną, systemy biznesowe i dane osobowe dla okupu.
• Jeden z głównych figurantów powiązanych z Phobos został zatrzymany we Włoszech w 2023 r. na podstawie francuskiego ENA (europejskiego nakazu aresztowania), co jeszcze bardziej osłabiło grupę stojącą za atakami ransomware.

Na skutek operacji, organy ścigania były w stanie ostrzec ponad 400 firm na całym świecie o istniejącym zagrożeniu przedmiotowymi atakami ransomware.

W międzynarodową operację, wspieraną przez Europol i Eurojust, zaangażowane były organy ścigania z 14 krajów. Niektóre kraje skupiały się na Phobos, inne na 8Base, podczas gdy kilka z nich prowadziło czynności wobec obu grup.

Wykryte po raz pierwszy w grudniu 2018 r. oprogramowanie ransomware Phobos stało się w wymiarze długoterminowym narzędziem cyberprzestępczym, wielokrotnie  wykorzystywanym w wielkoskalowych atakach wymierzonych w firmy i organizacje na całym świecie. W przeciwieństwie wysoko sprofilowanego oprogramowania atakującego duże korporacje, Phobos atakowała na dużą skalę małe i średnie firmy, które często nie posiadają stosownych systemów zapewniających wystarczający poziom cyberbezpieczeństwa.

Jego model Ransomware-as-a-Service (RaaS) sprawił, że złośliwe oprogramowanie było dostępne dla licznej grupy przestępców, od pojedynczych osób po zorganizowane grupy przestępcze, takie jak 8Base. Łatwość dostosowania struktury/ modelu oprogramowania pozwalała cyberprzestępcom na ich szerokie zastosowanie przy minimalnej wiedzy technicznej.

Na bazie infrastruktury Phobosa, 8Base opracowało własny wariant złośliwego oprogramowania, wykorzystując jego mechanizmy szyfrowania i przesyłania, w celu maksymalizacji siły ataku. Grupa była szczególnie agresywna w kontekście taktyki podwójnego szantażu, nie tylko  poprzez szyfrowanie/ blokownie danych pokrzywdzonych, ale także grożąc upublicznieniem przejętych informacji w przypadku nie zapłacenia okupu.

W prowadzonym postępowaniu uczestniczyły następujące organy:

• Belgia: Policja Federalna (Federale Politie / Police Fédérale)
• Czechy: Policja Republiki Czeskiej (Policie České republiky)
• Francja: Sąd w Paryżu - Krajowa Jurysdykcja p -ko Przestępczości Zorganizowanej (Juridiction Nationale de Lutte contre la Criminalité Organisée - JUNALCO), Prefektura Policji (Préfecture de Police)
• Niemcy: Bawarski Krajowy Urząd Kryminalny (Bayerisches Landeskriminalamt - LKA Bayern)
• Japonia: Krajowa Agencja Policji (警察庁)
• Polska: Centralne Biuro Zwalczania Cyberprzestępczości
• Rumunia: Rumuńska Policja (Poliția Română)
• Singapur: Dowództwo ds. cyberprzestępczości singapurskiej Policji (Singapore Police Force CyberCrime Command)
• Hiszpania: Gwardia Cywilna (Guardia Civil)
• Szwecja: Gwardia Cywilna (Guardia Civil)
• Szwajcaria: Policja Federalna (fedpol)
• Tajlandia: Biuro śledcze ds. cyberprzestępczości (Cyber Crime Investigation Bureau CCIB)
• Wielka Brytania: Krajowa Agencja ds. Przestępczości (NCA)
• Stany Zjednoczone: Federalne Biuro Śledcze (FBI - Baltimore Field Office), Centrum Cyberprzestępczości Departamentu Obrony USA (DC3)