Evgenii Ptitsyn, ressortissant russe et administrateur présumé de l’opération de ransomware Phobos, a été extradé de Corée du Sud et fait face à des accusations de cybercriminalité aux États-Unis.
Phobos est une opération de ransomware en tant que service (RAAS) de longue date (dérivée de la famille de ransomwares Crysis) largement distribuée par de nombreux affiliés. Entre mai 2024 et novembre 2024, il représentait environ 11% de toutes les soumissions au service de ransomware ID.
Le ministère de la Justice a établi un lien entre le gang de ransomwares Phobos et les violations de plus de 1 000 entités publiques et privées aux États-Unis et dans le monde, avec des paiements de rançon d’une valeur de plus de 16 millions de dollars.
Selon des documents judiciaires, Ptitsyn et ses co-conspirateurs se seraient développés et, à partir de novembre 2020, auraient fourni aux affiliés de Phobos l’accès aux charges utiles de ransomware nécessaires pour crypter les systèmes des victimes et la plate-forme utilisée pour extorquer des paiements de rançon.
« Les administrateurs exploitaient un site Web darknet pour coordonner la vente et la distribution du ransomware Phobos aux co-conspirateurs et utilisaient des surnoms en ligne pour annoncer leurs services sur des forums criminels et des plateformes de messagerie. À des moments pertinents, Ptitsyn aurait utilisé les surnoms « derxan » et « zimmermanx » », a déclaré le ministère de la Justice.
Les affiliés de Phobos auraient piraté les réseaux des victimes en utilisant des informations d’identification volées pour voler des fichiers et déployer le ransomware Phobos pour crypter leurs données.
Ils ont également laissé des notes de rançon et contacté les victimes par des appels et des courriels, tentant d’extorquer chaque victime et exigeant des paiements de rançon en échange de clés de déchiffrement sous la menace de divulguer leurs fichiers volés en ligne s’ils ne payaient pas.
Après des attaques qui ont abouti à un paiement de rançon, les affiliés ont payé les administrateurs de Phobos, y compris Ptitsyn, pour les clés de déchiffrement. Comme l’a déclaré le ministère de la Justice lundi, chaque déploiement de ransomware avait une chaîne alphanumérique unique qui la reliait à la clé correspondante, et les paiements étaient dirigés vers des portefeuilles de crypto-monnaie spécifiques uniques à chaque affilié.
« De décembre 2021 à avril 2024, les frais de clé de déchiffrement ont ensuite été transférés du portefeuille de crypto-monnaie affilié unique à un portefeuille contrôlé par Ptitsyn », a ajouté le ministère de la Justice.
Ptitsyn est accusé d’un acte d’accusation de 13 chefs d’accusation, notamment de fraude électronique, de complot en vue de commettre une fraude informatique et d’extorsion liée au piratage. S’il est reconnu coupable, il encourt jusqu’à 20 ans pour chaque chef de fraude électronique, 10 ans pour chaque chef de piratage et cinq ans pour les accusations de complot.
« Ptitsyn et ses co-conspirateurs ont piraté non seulement de grandes entreprises, mais aussi des écoles, des hôpitaux, des organisations à but non lucratif et une tribu reconnue par le gouvernement fédéral, et ils ont extorqué plus de 16 millions de dollars en rançons », a déclaré Nicole M. Argentieri, chef de la Division pénale du ministère de la Justice.
« Nous sommes particulièrement reconnaissants envers nos partenaires nationaux et étrangers chargés de l’application de la loi, comme la Corée du Sud, dont la collaboration est essentielle pour perturber et dissuader les menaces cybercriminelles les plus importantes auxquelles sont confrontés les États-Unis. »