Гражданин России Евгений Птицын, которого подозревают в создании шифровальщика Phobos, был экстрадирован из Южной Кореи в США. По данным американского Минюста, вымогатель Phobos связан более чем с 1000 атаками на государственные и частные организации, а общая сумма выкупов превысила 16 млн долларов США.
Считается, что шифровальщик Phobos является производной от семейства малвари Crysis, существует уже давно и работает по схеме RaaS (Ransomware-as-a-Service, «Вымогатель как услуга»). Распространением малвари занимаются множество «партнеров» группировки, и в результате только за период с мая 2024 года по ноябрь 2024 года на долю этого вымогателя пришлось порядка 11% от всех атак, зафиксированных сервисом ID Ransomware.
Как теперь сообщило Министерство юстиции США, Птицын и его сообщники разработали Phobos, и как минимум с ноября 2020 года, предоставляли своим «партнерам» доступ к полезной нагрузке малвари, необходимой для шифрования систем жертв, а также к платформе, используемой для вымогательства.
«Администраторы управляли сайтом в даркнете для координации продаж и распространения вымогательского ПО Phobos среди своих сообщников и использовали псевдонимы для рекламы своих услуг на криминальных форумах и в мессенджерах. Так, Птицын предположительно использовал псевдонимы derxan и zimmermanx», — пишут правоохранители.
По данным следствия, «партнеры» Phobos сами взламывали сети жертв, используя украденные учетные данные, похищали файлы и развертывали Phobos для шифрования данных. Также они оставляли записки с требованием выкупа или связывались с жертвами по телефону и электронной почте, пытаясь получить деньги в обмен на ключи дешифрования. В случае невыплаты выкупа хакеры угрожали опубликовать украденные файлы жертв в открытом доступе.
Если пострадавшая компания платила выкуп, «партнеры» перечисляли деньги администраторам Phobos (якобы включая Птицына), чтобы получить ключи дешифрования. Правоохранители сообщают, что каждый вымогатель имел собственную уникальную буквенно-цифровую комбинацию, которая связывала его с соответствующим ключом, а платежи были связаны с определенными криптовалютными кошельками, уникальными для каждого «партнера».
«С декабря 2021 года по апрель 2024 года оплата за ключи дешифрования передавалась с уникального криптовалютного кошелька партнера на кошелек, контролируемый Птицыным», —добавляют в Минюсте.
После экстрадиции Птицыну были предъявлены обвинения по 13 пунктам, включая мошенничество с использованием электронных средств связи, сговор с целью совершения компьютерного мошенничества, а также обвинения в вымогательстве, связанном с хакерством.
Если его признают виновным, ему грозит до 20 лет лишения свободы по каждому пункту обвинения в мошенничестве, а также 10 лет по каждому пункту обвинения в хакерстве и еще 5 лет по обвинению в сговоре.