От больниц до племен: как вирус Phobos терроризировал целые континенты

Министерство юстиции США предъявило обвинения Евгению Птицыну за предполагаемое руководство схемой продажи, распространения и эксплуатации программы-вымогателя Phobos.

По данным ведомства, 42-летний Птицын был экстрадирован из Южной Кореи и 4 ноября предстал перед окружным судом штата Мэриленд. В операции участвовали правоохранительные органы Южной Кореи, Великобритании, Японии, Испании, Франции, Румынии и других стран при поддержке Европола и других международных организаций.

Phobos атаковал более 1000 государственных и частных организаций в США и других странах, причинив ущерб на сумму более $16 миллионов. Среди жертв были больницы, школы, некоммерческие организации и даже федерально признанное племя.

Птицын и его сообщники разработали и предоставляли доступ к Phobos другим киберпреступникам (аффилиатам). Через сайты в даркнете и мессенджеры хакеры рекламировали свои услуги под псевдонимами «derxan» и «zimmermanx». Аффилиаты проникали в сети жертв, шифровали данные с помощью Phobos и требовали выкуп за расшифровку. В случае отказа жертвы выплатить деньги, похищенная информация грозила стать достоянием общественности.

После переговоров с жертвами киберпреступники платили Птицыну за ключи дешифрования , переводя деньги на определенные кошельки. Затем с декабря 2021 года по апрель 2024 года средства из этих кошельков переводились на кошелек Птицына.

Обвинения включают 13 пунктов, включая мошенничество, кибератаки и вымогательство. В случае признания вины максимальное наказание за каждый пункт мошенничества составляет до 20 лет лишения свободы, за кибератаки — до 10 лет, за сговор с целью совершения компьютерного мошенничества — до 5 лет.

В марте этого года агентство CISA опубликовало консультативное предупреждение об известных методах кибератак и индикаторах взлома группировки Phobos. По данным CISA, с 2019 года Phobos, действующая по RaaS-модели (Ransomware-as-a-Service), нападала на информационные системы муниципальных и окружных властей, экстренных служб, учебных заведений, медучреждений и других критически важных объектов. Модель RaaS позволяет людям с минимальными знаниями и опытом запускать атаки, используя готовые инструменты.