Полиция арестовала 4 подозреваемых в распространении вируса-вымогателя Phobos и конфисковала 8base
Глобальная операция правоохранительных органов по борьбе с бандой вымогателей Phobos привела к аресту четырех подозреваемых хакеров в Пхукете, Таиланд, и захвату сайтов даркнета 8Base. Подозреваемые обвиняются в проведении кибератак на более чем 1000 жертв по всему миру.
Арестованные — двое мужчин и две женщины — европейцы, которые, как сообщается, на протяжении многих лет вымогали у своих жертв биткоины на сумму 16 000 000 долларов.
Полицейская операция под кодовым названием «Фобос Аетор» привела к скоординированным рейдам в четырех местах, в ходе которых были изъяты ноутбуки, смартфоны и криптовалютные кошельки для проведения судебно-медицинской экспертизы.
Аресты были произведены по запросу швейцарских властей, которые обратились к правительству Таиланда с просьбой выдать подозреваемых.
По сообщениям местных СМИ , четверо хакеров совершили атаки с целью получения выкупа по меньшей мере на 17 швейцарских компаний в период с апреля 2023 года по октябрь 2024 года.
Во время атак злоумышленники взломали корпоративные сети, чтобы украсть данные и зашифровать файлы. Затем злоумышленники потребовали оплату в криптовалюте за предоставление ключей дешифрования и предотвращение публичного раскрытия данных.
Выкупные платежи отмывались на платформах микширования криптовалют, что затрудняло правоохранительным органам отслеживание их конечного кошелька.
8Base — это группа вирусов-вымогателей, которая начала свою деятельность в марте 2022 года и оставалась относительно тихой до июня 2023 года, когда она внезапно начала сливать данные многих жертв.
Описывая себя как простых «пентестеров», банда вымогателей, судя по ее действиям и изощренности, могла представлять собой ребрендинг другой операции или же состоять из опытных хакеров.
VMware сообщила, что банда имеет много общего с RansomHouse , включая стиль записок с требованием выкупа и сайт утечки данных, но не было подтверждено, что это одна и та же группа.
Как и другие операции с использованием программ-вымогателей, 8Base взламывал корпоративные сети и тихо распространялся по устройствам, похищая корпоративные данные. Получив доступ к контроллеру домена, злоумышленники шифровали устройства с помощью шифровальщика Phobos ransomware.
При шифровании файлов вирус-вымогатель добавляет к зашифрованным файлам расширение .8base или .eight.
В ходе этого процесса создаются записки с требованием выплатить выкуп в размере от сотен тысяч до миллионов долларов в обмен на ключ дешифрования и обещание удалить и не публиковать украденные данные.
В 2023 году Министерство здравоохранения и социальных служб США предупредило, что операторы 8Base нацелены на организации по всему миру, в том числе в секторе здравоохранения.
«Согласно атакам группы, 8Base в основном нацелена на компании малого и среднего бизнеса, базирующиеся в США, Бразилии и Великобритании. Среди других пострадавших стран — Австралия, Германия, Канада и Китай. Примечательно, что ни одна из стран бывшего СССР или СНГ не была атакована», — поясняется в бюллетене HHS .
«Хотя не существует известной связи с Россией или другими русскоязычными группами или филиалами RaaS, эта географическая исключительная модель является отличительной чертой многих русскоязычных субъектов угроз».
Среди известных жертв банды вирусов-вымогателей — Nidec Corporation , японский технологический гигант с доходом в 11 миллиардов долларов, и Программа развития Организации Объединенных Наций (ПРООН).