Una operació coordinada de les forces de seguretat ha eliminat la filtració de dades del web fosc i els llocs de negociació associats amb la banda de programari de segrest 8Base.

Els visitants del lloc de filtració de dades ara són rebuts amb una pancarta de confiscació que diu: “Aquest lloc ocult i el contingut criminal han estat confiscats per l’Oficina de la Policia Criminal de l’Estat de Baviera en nom de l’Oficina del Fiscal General de Bamberg”.

La retirada va implicar l’Agència Nacional de Crims del Regne Unit (NCA), l’Oficina Federal d’Investigacions (FBI) dels Estats Units, l‘Europol, com també les agències de Baviera, Bèlgica, Txeca, França, Alemanya, Japó, Romania, Espanya, Suïssa i Tailàndia.

Els informes dels mitjans tailandesos han revelat que quatre europeus -dos homes i dues dones- van ser arrestats dilluns en quatre llocs diferents com a part d’una operació anomenada Phobos Aetor. Les identitats dels sospitosos no van ser revelades.

Es diu que les autoritats han confiscat més de 40 proves, inclosos telèfons mòbils, ordinadors portàtils i carteres digitals.

Se suposa que estan relacionats amb el desplegament del programari de segrest Phobos contra 17 empreses ubicades a Suïssa entre l’abril de 2023 i l’octubre de 2024. A més, el grup ha estat acusat d’haver guanyat 16 milions de dòlars amb atacs que van causar més de 1.000 víctimes a tot el món.

8Base, que va sorgir com un actor important d’extorsió doble el 2023, i que ja havia estat acusat anteriorment d’incorporar artefactes de programari de segrest Phobos en els seus atacs cibernètics amb objectius econòmics, per la investigació de VMware, que va descobrir una mostra de Phobos que feia servir una extensió de fitxer «.8base» en fitxers xifrats.

També s’han identificat superposicions entre 8Base i RansomHouse, especialment pel que fa a les seves notes de rescat i la infraestructura del web fosc.

L’últim desenvolupament arriba arran d’una sèrie d’interrupcions d’alt perfil associades a Rusc, LockBit, i BlackCat en els darrers anys. A finals de l’any passat, Evgenii Ptitsyn, un ciutadà rus de 42 anys, que es creu que és l’administrador del programari de segrest Phobos, va ser extradit als EUA.

Actualització#

Europol, en un comunicat de premsa, va dir que els quatre individus arrestats són tots nacionals russos que se suposa que han desplegat una variant de programari de segrest Phobos per extorsionar víctimes a tot Europa i fora d’ella. A més, l’operació va provocar la interrupció de més de 100 servidors vinculats a la xarxa de ciberdelinqüència.

«El seu model de Ransomware-as-a-Service (RaaS) l’ha fet especialment accessible per a una sèrie d’actors criminals, des d’afiliats individuals fins a grups criminals estructurats com ara el 8Base», ha explicat l’agència. «L’adaptabilitat d’aquest marc ha permès que els atacants personalitzessin les seves campanyes de programari de segrest amb una experiència tècnica mínima, i alimentar encara més el seu ús generalitzat.»

Segons l’Europol, el 8Base va aprofitar els fonaments de Phobos per desplegar la seva pròpia variant contra els objectius. Va descriure el grup com a «particularment agressiu en les seves tàctiques d’extorsió doble», que va xifrar les dades de les víctimes i amenaçar de publicar informació robada tret que es fes un pagament.

En una acció coordinada, el Departament de Justícia dels Estats Units (DoJ) va revelar els càrrecs penals contra Roman Berezhnoy, de 33 anys, i Egor Nikolaevich Glebov, de 39, per presumptament van operar un grup de ciberdelinqüència que va utilitzar Phobos per atacar més de 1.000 entitats públiques i privades al país i a tot el món. Fobos va aparèixer a l’escena l’octubre de 2018.

«Berezhnoy, Glebov i altres van operar una organització afiliada de programari de segrest, inclòs sota els noms de ‘8Base’ i ‘Affiliate 2803’, entre d’altres, que van atacar entitats públiques i privades mitjançant el desplegament del programari de segrest Phobos», va dir el DoJ.

Berezhnoy i Glebov han estat acusats d’un delicte de conspiració per frau electrònic, un de frau per cable, un de conspiració per cometre frau i abús informàtic, tres càrrecs de causar danys intencionats a ordinadors protegits, tres càrrecs d’extorsió en relació amb danys a un ordinador protegit, un càrrec de transmissió d’una informació confidencial i una amenaça de deteriorament de l’accés a dades confidencials amb obtenció d’informació d’un ordinador protegit.

Si són condemnats per tots els càrrecs, Berezhnoy i Glebov s’enfronten a una pena màxima de 20 anys de presó per cada cas relacionat amb el frau electrònic; 10 anys de presó per cada dany informàtic; i cinc anys de presó per cadascun dels altres càrrecs.

La retirada també coincideix amb l’anunci d’Austràlia, el Regne Unit, i els EUA que han anunciat conjuntament sancions contra Zservers, un servei d’allotjament blindat amb seu a Rússia (HBP), pel seu paper a l’hora de facilitar els atacs de programari de segrest, principalment els comesos pel grup LockBit RaaS. És la primera vegada que Austràlia emet sancions cibernètiques contra una entitat.

També s’han imposat sancions a la seva companyia frontal britànica XHOST Internet Solutions LP i a sis dels administradors i empleats del servei: Aleksandr Sergeyevich Bolshakov, Alexander Igorevich Mishin, Ilya Sidorov, Dimitriy Bolshakov, Igor Odintsov i Vladimir Ananev en relació amb l’operació criminal.

«Zservers ha proporcionat serveis de BPH, inclòs el lloguer de nombroses adreces IP, als afiliats de LockBit, que han fet servir els serveis d’allotjament per coordinar i llançar atacs de ransomware», va dir l’Oficina de Control d’Actius Estrangers del Departament del Tresor dels Estats Units (OFAC) en un comunicat, i va afegir que es va anunciar com una manera d’evadir la investigació i l’aplicació de la llei.

(La història s’ha actualitzat després d’haver fet la primera publicació per incloure informació addicional d’Europol i del Departament de Justícia dels Estats Units.)