In queste ultime ore un’operazione di polizia condotta su scala globale, chiamata Phobos Aetor, ha portato all’arresto di quattro cittadini russi a Phuket (Thailandia), accusati di aver utilizzato una variante del ransomware Phobos per attaccare centinaia di aziende in tutto il mondo. A quanto pare, i quattro uomini avevano legami di collaborazione con la cybergang 8base, nota per aver rubato dati sensibili a piccole e medie imprese – localizzate soprattutto negli Stati Uniti, in Brasile e nel Regno Unito – e averli poi rivenduti nel dark web. Proprio oggi il Dipartimento di Giustizia statunitense ha reso pubbliche le accuse penali contro due di loro, Roman Berezhnoy ed Egor Nikolaevich Glebov, “che avrebbero gestito un gruppo di criminalità informatica che, utilizzando il ransomware Phobos, ha colpito più di 1000 entità pubbliche e private negli Stati Uniti e in tutto il mondo, ricevendo oltre 16 milioni di dollari in pagamenti di riscatti”.
Stando a quanto riportato dai documenti ufficiali, le autorità hanno sequestrato oltre 40 prove – tra cui telefoni cellulari, computer portatili e portafogli digitali – e hanno abbattuto più di 100 server collegati al gruppo cybercriminale. Ma questo è solo il risultato finale di un’operazione che sembra andare avanti oramai da tempo. Un affiliato chiave di Phobos, infatti, è stato arrestato in Italia già nel 2023. E a giugno 2024 un hacker russo, identificato come uno degli amministratori del gruppo criminale, è stato arrestato in Corea del Sud ed estradato negli Stati Uniti nel novembre dello stesso anno, dove è stato accusato di aver messo a segno attacchi ransomware ai danni di aziende, infrastrutture critiche e individui privati.
Il ransomware Phobos
Rilevato per la prima volta nel dicembre 2018, il ransomware Phobos si distingue nel mondo cybercriminale per l’uso che ne è stato fatto negli attacchi ai danni di piccole e medie imprese, che spesso non sono in grado di adottare le giuste misure per difendersi dai cybercriminali. A renderlo tanto noto, in particolare, è stato il suo modello Ransomware-as-a-Service (RaaS) – un meccanismo per cui gli operatori di ransomware scrivono software e gli affiliati pagano per utilizzarli nei loro attacchi – che lo ha reso facilmente accessibile a un’ampia varietà di attori criminali, dai singoli individui ai gruppi criminali strutturati come 8base.
Secondo quanto riferito dall’Europol, coinvolta nell’operazione, la versatilità del software “ha permesso agli aggressori di personalizzare le proprie campagne ransomware con competenze tecniche minime, alimentandone ulteriormente la sua diffusione”. Ed è stato proprio questo a consentire ai cybercriminali di 8base di sfruttare l’infrastruttura di Phobos per sviluppare “la propria variante del ransomware” e utilizzarla per mettere a segno i propri attacchi senza dimostrare alcuna pietà. La stessa Europol, infatti, riferisce che la cybergang è stata particolarmente aggressiva, avendo messo in campo le sue “tattiche di doppia estorsione, non solo criptando i dati delle vittime ma anche minacciando di pubblicare le informazioni rubate a meno che non venisse pagato un riscatto”.
Fonte : Wired
