Międzynarodowa operacja wymierzona w ransomware
W ubiegłym tygodniu międzynarodowa akcja organów ścigania zakończyła się zatrzymaniem czterech osób kierujących grupą ransomware 8Base. Podejrzani, wszyscy narodowości rosyjskiej, zostali aresztowani pod zarzutem wykorzystywania złośliwego oprogramowania Phobos do wymuszania okupów na ofiarach w Europie oraz poza jej granicami. Podczas operacji służby zabezpieczyły 27 serwerów powiązanych z grupą przestępczą, co poważnie ograniczyło ich możliwości operacyjne.
Był to kolejny cios w cyberprzestępczów powiązanych z ransomware Phobos. W czerwcu 2024 r. administrator tej sieci został zatrzymany w Korei Południowej, a w listopadzie poddany ekstradycji do USA, gdzie stanął przed sądem za ataki na infrastrukturę krytyczną i systemy biznesowe. Z kolei w 2023 r. jeden z głównych operatorów Phobos został aresztowany we Włoszech na podstawie europejskiego nakazu aresztowania.
Dzięki operacji organy ścigania mogły ostrzec ponad 400 firm na świecie o zagrożeniach związanych z ransomware Phobos i 8Base. W operację zaangażowane były organy ścigania z 14 krajów, wspierane przez Europol i Eurojust. Każde państwo skupiło się na konkretnych aspektach działalności przestępczej, co pozwoliło na skoordynowane zatrzymania kluczowych figurantów.
Phobos i 8Base: Model Ransomware-as-a-Service
Ransomware Phobos po raz pierwszy wykryto w 2018 r., a jego model działania opiera się na usłudze Ransomware-as-a-Service (RaaS). Umożliwiło to udostępnienie narzędzi cyberprzestępczych szerokiemu gronu przestępców, w tym grupie 8Base. W przeciwieństwie do innych grup ransomware atakujących duże korporacje, Phobos koncentrował się na małych i średnich firmach, które często nie posiadają zaawansowanych systemów cyberbezpieczeństwa.
8Base, bazując na infrastrukturze Phobosa, opracowało własne narzędzia szyfrujące i metody ataku. Grupa stosowała podwójny szantaż, nie tylko blokując dostęp do danych ofiar, ale także grożąc ich upublicznieniem, jeśli okup nie zostanie zapłacony. To sprawiło, że ataki były szczególnie dotkliwe dla firm i organizacji, których dane mogłyby zostać wykorzystane do szantażu lub dalszych oszustw.
Rola Europolu w zwalczaniu ransomware
Europol odegrał kluczową rolę w skoordynowaniu działań przeciwko 8Base i Phobos. Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) od 2019 r. wspierało operacje przeciwko tym grupom, organizując 37 spotkań operacyjnych, analizując kryptowaluty oraz dostarczając kluczowych informacji śledczych.
W ramach współpracy międzynarodowej Europol wymienił prawie 600 wiadomości przez bezpieczną sieć SIENA, co podkreśla skalę prowadzonych działań. Eurojust natomiast koordynował współpracę sądową, organizując spotkania na potrzeby transgranicznych postępowań.
W operacji uczestniczyły następujące instytucje:
Belgia: Policja Federalna
Czechy: Policja Republiki Czeskiej
Francja: Sąd w Paryżu i Prefektura Policji
Niemcy: Bawarski Krajowy Urząd Kryminalny
Japonia: Krajowa Agencja Policji
Polska: Centralne Biuro Zwalczania Cyberprzestępczości
Rumunia: Rumuńska Policja
Singapur: Dowództwo ds. cyberprzestępczości
Hiszpania: Gwardia Cywilna
Szwecja: Gwardia Cywilna
Szwajcaria: Policja Federalna
Tajlandia: Biuro śledcze ds. cyberprzestępczości
Wielka Brytania: Krajowa Agencja ds. Przestępczości (NCA)
USA: FBI oraz Centrum Cyberprzestępczości Departamentu Obrony
Zatrzymania związane z 8Base i Phobos to istotny krok w walce z cyberprzestępczością, ale zagrożenie ransomware pozostaje realne. Model RaaS sprawia, że nowe grupy mogą przejmować narzędzia po zlikwidowanych organizacjach, co wymaga nieustannego monitorowania i śledztw międzynarodowych. Kluczowe będzie utrzymanie współpracy między organami ścigania oraz wymiana informacji o nowych zagrożeniach.
Zdjęcie: CBZC
