Le département américain de la Justice a annoncé les noms de deux affiliés au ransomware Phobos arrêtés hier en Thaïlande, les inculpant de 11 chefs d’accusation en raison de leur implication dans plus d’un millier de cyberattaques.
Les deux hommes, Roman Berezhnoy (33 ans) et Egor Nikolaevich Glebov (39 ans) sont tous deux citoyens russes, actifs dans le domaine des ransomwares entre mai 2019 et au moins octobre 2024.
Le ministère de la Justice a déclaré que Berezhnoy et Glebov étaient les opérateurs des plates-formes “8Base” et “Affiliate 2803”, toutes deux déployant la souche de ransomware Phobos dans des attaques.
« Dans le cadre de ce stratagème, Berezhnoy, Glebov et d’autres auraient piraté les réseaux informatiques des victimes, copié et volé des fichiers et des programmes sur le réseau des victimes et crypté les versions originales des données volées avec le ransomware Phobos”, lit-on dans l’annonce du DoJ américain.
« Les conspirateurs auraient ensuite extorqué aux victimes des paiements de rançon en échange des clés de déchiffrement pour retrouver l’accès aux données cryptées, entre autres, en laissant une demande de rançon sur les ordinateurs des victimes compromis et en contactant séparément les victimes pour entamer des négociations de paiement de rançon.”
« Comme allégué, les conspirateurs ont également menacé d’exposer les fichiers volés des victimes au public ou aux clients, clients ou électeurs des victimes si les rançons n’étaient pas payées.”
Les deux cybercriminels ont été arrêtés dans des endroits distincts à Phuket hier et font maintenant face à une longue liste d’accusations qui incluent:
- Complot de fraude électronique (1 chef d’accusation)
- Fraude électronique (1 chef d’accusation)
- Complot en vue de commettre une fraude informatique et des abus (1 chef d’accusation)
- Dommages intentionnels aux ordinateurs protégés (3 chefs d’accusation)
- Extorsion liée aux dommages causés à un ordinateur protégé (3 chefs d’accusation)
- Transmission d’une menace visant à porter atteinte à la confidentialité des données volées (1 chef d’accusation)
- Accès non autorisé et obtention d’informations à partir d’un ordinateur protégé (1 chef d’accusation)
S’ils sont reconnus coupables, ils pourraient écoper d’une peine pouvant aller jusqu’à 20 ans pour des accusations de fraude électronique, 10 ans pour des accusations de dommages informatiques et 5 ans pour les autres chefs d’accusation.
L’arrestation et l’inculpation des deux cybercriminels russes font suite à une action similaire contre Evgenii Ptitsyn, également un ressortissant russe soupçonné d’avoir joué un rôle administratif dans l’opération Phobos.
Europol a infiltré Phobos
Dans une annonce distincte d’Europol aujourd’hui, il a été révélé que les autorités répressives avaient supprimé 27 serveurs associés au groupe de ransomwares 8Base, mettant fin à ses opérations.
La nouvelle d’hier des arrestations en Thaïlande était directement liée à l’apparition de bannières de saisie sur les portails d’extorsion de 8Base, mais la confirmation officielle de l’action est arrivée plus tôt aujourd’hui.
Europol a également révélé une arrestation clé d’une filiale de Phobos en Italie en 2023, permettant à ses enquêteurs d’infiltrer l’opération et d’obtenir des renseignements qui ont aidé à protéger des centaines de cibles.
” Grâce à cette opération, les forces de l’ordre ont également pu avertir plus de 400 entreprises dans le monde entier d’attaques de ransomware en cours ou imminentes », explique Europol.
Phobos est actif depuis décembre 2018, et bien que ces opérations d’application de la loi l’aient quelque peu perturbé, le niveau de leur impact n’est pas clair pour le moment.