Полските правоохранителни органи задържаха 47-годишен мъж, за когото се предполага, че е имал връзки с рансъмуер групата Phobos. При обиск в дома му са иззети компютри и мобилни телефони, съдържащи откраднати идентификационни данни, номера на кредитни карти и достъпи до сървъри, използвани за неоторизиран достъп до информационни системи.
Арестът е извършен от служители на Централното бюро за борба с киберпрестъпността на Полша в района на Малополско, в съвместна операция на звена от Катовице и Киелце. Действията са част от мащабната международна инициатива „Операция Етер“, координирана от Европол, насочена срещу инфраструктурата и сътрудниците на Phobos.
Какво е открито при разследването
По време на претърсването, проведено под надзора на Окръжната прокуратура в Гливице, разследващите са открили файлове с потребителски имена, пароли, IP адреси на сървъри и чувствителна финансова информация. Според полицията тези данни са могли да бъдат използвани за пробиви в системи и последващи рансъмуер атаки срещу организации и бизнеси.
Допълнително е установено, че заподозреният е използвал криптирани приложения за комуникация, чрез които е поддържал контакт с киберпрестъпната мрежа Phobos – група, известна с мащабни атаки и изнудване на жертви по целия свят.
Обвинения и възможни последици
Мъжът е обвинен по член 269б от Наказателния кодекс на Полша за създаване, придобиване и разпространение на хакерски инструменти, предназначени за незаконно извличане на информация от ИТ системи. При доказване на вината му го заплашва до пет години лишаване от свобода.
Phobos – малко шум, огромен мащаб
Phobos е дългогодишна операция тип ransomware-as-a-service, произлизаща от семейството Crysis. Макар често да остава извън медийния фокус, тя е отговорна за хиляди атаки срещу компании по целия свят и се счита за една от най-широко разпространените рансъмуер екосистеми.
Между май и ноември 2024 г. Phobos е представлявала около 11% от всички подадени случаи към услугата ID Ransomware. Министерството на правосъдието на САЩ я свързва с пробиви в над 1000 публични и частни организации, като платените откупи надхвърлят 16 милиона щатски долара.
Удар по мрежата на няколко континента
„Операция Етер“ атакува Phobos на всички нива – от операторите на сървърната инфраструктура до партньорите, извършващи реалните прониквания и криптиране на данни. Сред ключовите резултати са:
-
Екстрадицията на предполагаем администратор на Phobos в Съединените щати през ноември 2024 г.
-
Масирана акция през февруари 2025 г., при която са иззети 27 сървъра и арестувани двама съучастници в Пукет, Тайланд.
-
Арест на друг ключов партньор в Италия още през 2023 г.
Според Европол, в резултат на операцията над 400 компании по света са били предупредени за текущи или предстоящи рансъмуер атаки. Инициативата е подкрепена и от Евроджъст и включва служби от 14 държави, като част от тях паралелно са работили и срещу групировката 8Base.
Безплатен декриптор – добра новина за жертвите
През юли 2025 г. японската полиция публикува безплатен декриптор за Phobos и 8Base, който позволява на засегнатите организации да възстановят файловете си без да плащат откуп – рядък, но изключително важен пробив в борбата с рансъмуера.
