Centralne Biuro Zwalczania Cyberprzestępczości poinformowało o zatrzymaniu 4 osób, kierujących jedną z najbardziej aktywnych grup cyberprzestępców. Wykorzystywała ona złośliwe oporgramowanie do wymuszania wysokich okupów od pokrzywdzonych w całej Europie i poza jej granicami.
Jak poinformowało we wtorek Centralne Biuro Zwalczania Cyberprzestępczości (CBZC), zatrzymane osoby narodowości rosyjskiej kierowały grupą ransomware 8Base i miały wykorzystywać złośliwe oprogramowanie Phobos. „Jednocześnie zabezpieczono 27 serwerów powiązanych z grupą przestępczą” - podało CBZC.
Przypomniało też wydarzenia, które poprzedziły zatrzymania związane z ransomware Phobos. „Administrator Phobos został zatrzymany w Korei Południowej w czerwcu 2024 roku, a następnie poddany ekstradycji do Stanów Zjednoczonych w listopadzie tego samego roku. Aktualnie odpowiada przed sądem za kierowanie atakami ransomware, które szyfrowały infrastrukturę krytyczną, systemy biznesowe i dane osobowe dla okupu” - podkreśliło CBZC.
Zaznaczyło, że jeden z głównych figurantów powiązanych z Phobos został zatrzymany we Włoszech w 2023 r. na podstawie francuskiego ENA (europejskiego nakazu aresztowania), co jeszcze bardziej osłabiło grupę stojącą za atakami ransomware. „Na skutek operacji, organy ścigania były w stanie ostrzec ponad 400 firm na całym świecie o istniejącym zagrożeniu przedmiotowymi atakami ransomware” - wyjaśniło CBZC.
Podało, że w międzynarodową operację, wspieraną przez Europol i Eurojust, zaangażowane były organy ścigania z 14 krajów, z czego niektóre kraje skupiały się na Phobos, a inne na 8Base, podczas gdy kilka z nich prowadziło czynności wobec obu grup. Wśród nich znalazła się Belgia, Czechy, Francja, Niemcy, Japonia, Polska, Rumunia, Singapur, Hiszpania, Szwecja, Szwajcaria, Tajlandia, Wielka Brytania, czy Stany Zjednoczone.
„Europol odegrał kluczową rolę w zebraniu i wymianie danych z poszczególnych postepowań, umożliwiając organom ścigania z różnych krajów, w sposób skoordynowany, zdjęcie kluczowych figurantów stojących za atakami ransomware przeprowadzanymi przez obie grupy” - przekazało CBZC.
Oprogramowanie ransomware Phobos, wykryte po raz pierwszy w grudniu 2018 r., stało się narzędziem cyberprzestępczym, wielokrotnie wykorzystywanym w wielkoskalowych atakach wymierzonych w firmy i organizacje na całym świecie. W przeciwieństwie do wysoko sprofilowanego oprogramowania atakującego duże korporacje, Phobos atakowała na dużą skalę małe i średnie firmy, które często nie posiadają stosownych systemów zapewniających wystarczający poziom cyberbezpieczeństwa.
„Jego model Ransomware-as-a-Service (RaaS) sprawił, że złośliwe oprogramowanie było dostępne dla licznej grupy przestępców, od pojedynczych osób po zorganizowane grupy przestępcze, takie jak 8Base. Łatwość dostosowania struktury, czy modelu oprogramowania pozwalała cyberprzestępcom na ich szerokie zastosowanie przy minimalnej wiedzy technicznej” - wskazało CBZC.
Dodało, że na bazie infrastruktury Phobosa, 8Base opracowało własny wariant złośliwego oprogramowania, wykorzystując jego mechanizmy szyfrowania i przesyłania, w celu maksymalizacji siły ataku. „Grupa była szczególnie agresywna w kontekście taktyki podwójnego szantażu, nie tylko poprzez szyfrowanie, czy blokownie danych pokrzywdzonych, ale także grożąc upublicznieniem przejętych informacji w przypadku nie zapłacenia okupu” - poinformowało CBZC. (PAP)
akuz/ agz/
