Une opération mondiale d’application de la loi ciblant le gang de rançongiciels Phobos a conduit à l’arrestation de quatre pirates présumés à Phuket, en Thaïlande, et à la saisie des sites Web sombres de 8Base. Les suspects sont accusés d’avoir mené des cyberattaques contre plus de 1 000 victimes dans le monde entier.
Les personnes arrêtées, deux hommes et deux femmes, sont des Européens qui auraient extorqué 16 000 000 Bitcoin de Bitcoin à leurs victimes au fil des ans.
L’opération policière, baptisée « Phobos Aetor », a conduit à des raids coordonnés sur quatre sites, où des ordinateurs portables, des smartphones et des portefeuilles de crypto-monnaie ont été saisis pour une analyse médico-légale.
Les arrestations ont été effectuées à la demande des autorités suisses, qui ont demandé au gouvernement thaïlandais d’extrader les suspects.
Selon les médias locaux, les quatre pirates informatiques auraient mené des attaques par ransomware contre au moins 17 entreprises suisses entre avril 2023 et octobre 2024.
Au cours des attaques, les auteurs de la menace ont violé les réseaux d’entreprise pour voler des données et chiffrer des fichiers. Les auteurs de la menace ont ensuite exigé des paiements en crypto-monnaie pour fournir les clés de déchiffrement et empêcher la publication des données.
Les paiements de rançon ont été blanchis sur des plateformes de mélange de crypto-monnaie, ce qui a rendu plus difficile pour les forces de l’ordre de suivre leur portefeuille final.
Les sites Web sombres de 8Base saisis
Aujourd’hui, les sites Web sombres de l’opération de ransomware 8Base ont également été saisis dans ce qui semble être la même opération.
Les sites de négociation et de fuite de données du gang de ransomwares 8Base affichent désormais un message de saisie indiquant: « CE SITE CACHÉ A ÉTÉ SAISI. Ce site caché et le contenu criminel ont été saisis par le Bureau de la Police criminelle de l’État de Bavière pour le compte du Bureau du Procureur général de Bamberg. »
Le message de saisie indique également que « l’opération Phobos Aetor » impliquait la Thaïlande, la Roumanie, la Bavière, l’Allemagne, la Suisse, le Japon, les États-Unis, Europol, la Tchéquie, l’Espagne, la France, la Belgique et le Royaume-Uni
Breachtrace a confirmé que les sites de fuite de données et de négociation de l’opération 8Base avaient été saisis dans le cadre de l’opération mondiale d’application de la loi.
8Base est un groupe de ransomwares qui s’est lancé en mars 2022, restant relativement silencieux jusqu’en juin 2023, date à laquelle il a soudainement commencé à divulguer des données pour de nombreuses victimes.
Se décrivant comme de simples « pentesteurs », les activités et la sophistication du gang de ransomwares indiquaient qu’il s’agissait peut-être d’un changement de nom d’une autre opération ou composé de pirates expérimentés.
VMware a signalé que le gang partageait de nombreuses similitudes avec RansomHouse, notamment le style des notes de rançon et le site de fuite de données, mais il n’a pas été confirmé qu’il s’agissait du même groupe.
Comme d’autres opérations de ransomware, 8Base violerait les réseaux d’entreprise et se propagerait discrètement latéralement à travers les appareils tout en volant les données de l’entreprise. Lorsqu’ils accédaient au contrôleur de domaine, les auteurs de la menace chiffraient les appareils à l’aide du chiffreur de ransomware Phobos.
Lors du cryptage des fichiers, le ransomware ajoute soit le.8base ou .huit extensions pour les fichiers cryptés.
Au cours de ce processus, des notes de rançon sont créées qui exigent un paiement de rançon allant de centaines de milliers de dollars à des millions en échange d’une clé de déchiffrement et de la promesse de supprimer et de ne pas publier les données volées.
En 2023, le Département de la Santé et des Services sociaux des États-Unis a averti que les opérateurs de 8Base ciblaient des organisations du monde entier, y compris celles du secteur de la santé.
« Selon les attaques du groupe, 8Base cible principalement les PME basées aux États-Unis, au Brésil et au Royaume-Uni. Parmi les autres pays touchés figurent l’Australie, l’Allemagne, le Canada et la Chine, entre autres. Notamment, aucun pays de l’ex-Union soviétique ou de la CEI n’a été ciblé », explique le bulletin du HHS.
« Bien qu’il n’existe aucune corrélation connue avec la Russie ou d’autres groupes ou affiliés russophones du RaaS, ce schéma d’exclusion géographique est une caractéristique pour de nombreux acteurs de la menace russophones. »
Parmi les victimes très médiatisées du gang de ransomwares figurent Nidec Corporation, un géant japonais de la technologie avec un chiffre d’affaires de 11 milliards de dollars, et le Programme des Nations Unies pour le développement (PNUD).