Министерство юстиции США предъявило обвинения двум россиянам, арестованным в Таиланде в ходе операции Phobos Aetor. Их связывают с вымогателем Phobos и участием в более чем 1000 вымогательских атак. Также правоохранители заявили о захвате инфраструктуры группировки 8Base.
В международной операции Phobos Aetor принимали участие Национальное агентство по борьбе с преступностью Великобритании (NCA), Федеральное бюро расследований США (ФБР), Европол, а также правоохранительные органы Бельгии, Чехии, Франции, Баварии, Германии, Японии, Румынии, Испании, Швейцарии, Швеции и Таиланда.
Ранее на этой неделе власти Таиланда объявили об аресте четырех подозреваемых, связанных с активностью шифровальщика Phobos. Правоохранители провели скоординированные рейды в четырех локациях на Пхукете, которые привели к изъятию ноутбуков, смартфонов и криптовалютных кошельков.
Упомянутые выше аресты были произведены по запросу швейцарских властей, которые обратились к правительству Таиланда с просьбой об экстрадиции подозреваемых. По информации местных СМИ, в период с апреля 2023 года по октябрь 2024 года подозреваемые совершили атаки как минимум на 17 швейцарских компаний.
Одновременно с арестом операторов Phobos в даркнете прекратили работу сайты вымогательской группировки 8Base. На ресурсах, которые ранее использовались для ведения переговоров с жертвами и «слива» украденных данных, появилась «заглушка», сообщающая, что сайты перешли под контроль властей.
Вскоре после этого Министерство юстиции США обнародовало имена двух арестованных в Таиланде россиян, которым были предъявлены обвинения по 11 пунктам.
Американские правоохранители заявили, что Роман Бережной (33 года) и Егор Глебов (39 лет) занимались вымогательскими атаками в период с мая 2019 года по октябрь 2024 года. Якобы на их счету более 1000 атак на компании по всему миру, а группировка 8Base связана с получением выкупов на сумму свыше 16 млн долларов США.
Согласно заявлению Минюста, Бережной и Глебов были операторами платформ 8Base и Affiliate 2803, которые использовали в своих атаках шифровальщик Phobos.
Предъявленные им обвинения включают: мошенничество с использованием электронных средств связи; сговор с целью совершения мошенничества с использованием электронных средств связи; сговор с целью совершения компьютерного мошенничества и злоупотреблений; умышленное повреждение защищенных компьютеров; вымогательство, связанное с повреждением защищенных компьютеров; угрозы нарушить конфиденциальность украденных данных; несанкционированный доступ и получение информации с защищенных компьютеров.
Напомним, что ранее американские власти предъявили похожие обвинения Евгению Птицыну, еще одному гражданину России, которого в конце прошлого года экстрадировали в США из Южной Кореи. Предполагается, что он играл административную роль в операциях Phobos.
Также собственное заявление теперь опубликовали и представители Европола, которые заявили о захвате 27 серверов, связанных с группой 8Base, что якобы привело к прекращению ее деятельности.
Кроме того, Европол сообщил, что еще в 2023 году в Италии был арестован один из ключевых партнеров Phobos, что позволило следователям внедриться в группу и получать оперативную информацию. В итоге это помогло защитить сотни целей и предотвратить более 400 готовящихся или уже начавшихся вымогательских атак по всему миру.
«В этой комплексной международной операции, проведенной при поддержке Европола и Евроюста, участвовали правоохранительные органы из 14 стран мира. В то время как одни страны сосредоточились на расследовании активности Phobos, другие нацелились на 8Base, причем некоторые страны участвовали в обеих операциях», — поясняет Европол.
Вымогательская группировка 8Base появилась еще в марте 2022 года, но довольно долго оставалась практически неактивной. Зато в июне 2023 года хакеры неожиданно начали «сливать» данные множества компаний-жертв.
Как тогда сообщали аналитики компании VMware, 8Base – это ребрендинг известной вымогательской группировки RansomHouse, которая брала на себя ответственность за взлом компаний ADATA и AMD. Фактически основное различие между этими вымогателями заключалось в том, что RansomHouse открыто набирала новых партнеров, а 8Base — нет.
Также отмечалось, что с технической точки зрения вредонос 8Base представлял собой кастомную версию малвари Phobos 2.9.1, которая загружалась через SmokeLoader. Phobos — это ориентированная на Windows RaaS-малварь, которая впервые появилась в 2019 году, а ее код схож с другим известным вымогателем — Dharma.
«Является ли 8Base ответвлением Phobos или RansomHouse, еще только предстоит выяснить. Интересно, что 8Base практически идентична RansomHouse, но использует вымогательское ПО Phobos», — писали в 2023 году специалисты VMware.
