$16 млн и 1000 жертв: как хакеры Phobos попались в ловушку спецслужб

Международная операция правоохранительных органов привела к аресту четырёх предполагаемых участников группировки Phobos в Пхукете, Таиланд, и ликвидации теневых веб-ресурсов 8Base. Подозреваемые обвиняются в проведении атак на более чем 1000 жертв по всему миру, требуя выкуп за зашифрованные данные.

Среди задержанных — двое мужчин и две женщины, все граждане европейских стран. По данным следствия, они вымогали криптовалюту у своих жертв, суммарный ущерб оценивается в 16 миллионов долларов в биткоинах. Операция, получившая название «Phobos Aetor», включала синхронные обыски в четырёх местах, где были изъяты ноутбуки, смартфоны и криптовалютные кошельки для дальнейшего анализа.

Аресты произошли по запросу швейцарских властей, которые добиваются экстрадиции подозреваемых. Сообщается, что они организовали кибератаки на 17 компаний в Швейцарии с апреля 2023 по октябрь 2024 года. В ходе атак злоумышленники получали доступ к корпоративным сетям, похищали конфиденциальные данные и блокировали файлы, требуя криптовалютные платежи в обмен на ключи дешифрования и обещания не публиковать украденную информацию.

Для сокрытия следов преступники отмывали полученные выкупы через сервисы анонимизации криптовалютных транзакций, усложняя отслеживание денежных потоков.

В рамках этой же операции были заблокированы веб-ресурсы, принадлежащие группировке 8Base, специализирующейся на шифровании данных и вымогательстве. При попытке зайти на их платформу теперь отображается сообщение о том, что сайт конфискован Баварским управлением уголовной полиции по поручению прокуратуры Германии.

Изъятие сайтов стало результатом координированных действий правоохранительных органов из Таиланда, Румынии, Германии, Швейцарии, Японии, США, Чехии, Испании, Франции, Бельгии и Великобритании. В Европоле подтвердили участие в операции, отметив, что оказывают поддержку в расследовании.

Группировка 8Base начала свою деятельность в марте 2022 года, но до июня 2023 года практически не привлекала внимания. Специалисты по кибербезопасности подозревали, что она могла быть либо ребрендингом другой преступной сети, либо состоять из опытных хакеров . Исследователи VMware обнаружили у 8Base сходство с RansomHouse — схожий стиль вымогательских записок и оформление веб-ресурсов. Однако пока не удалось подтвердить связь между этими группами.

Как и другие операторы программ-вымогателей, 8Base проникала в корпоративные сети, незаметно распространялась внутри инфраструктуры, похищала данные, а затем шифровала устройства с использованием шифратора Phobos. За дешифровку требовались крупные суммы — от сотен тысяч до миллионов долларов.

В 2023 году Министерство здравоохранения США предупредило, что 8Base нацелена на организации по всему миру, включая медицинский сектор. По данным ведомства, основными жертвами становились малые и средние предприятия в США, Бразилии и Великобритании. Также зафиксированы атаки в Австралии, Германии, Канаде и Китае.

Одними из наиболее крупных жертв 8Base стали японский промышленный гигант Nidec Corporation с оборотом в 11 миллиардов долларов и Программа развития ООН (UNDP).

Сотрудничество международных спецслужб продолжает давать результаты в борьбе с киберпреступностью, но эксперты предупреждают, что на место ликвидированных группировок быстро приходят новые структуры, использующие те же тактики.