Международното разследване разкри над 1000 жертви и повече от 39 милиона долара откупи

Руският гражданин Евгений Птицин се призна за виновен по обвинение в конспирация за измама чрез електронни средства, свързана с участието му в управлението на мащабната ransomware операция Phobos ransomware.

Според данни на U.S. Department of Justice, киберпрестъпната група е атакувала над 1000 организации по света, включително публични институции и частни компании, като е събрала повече от 39 милиона долара откупи.

Какво представлява Phobos ransomware

Phobos ransomware е дългогодишна Ransomware-as-a-Service (RaaS) операция, свързана с по-старата зловредна фамилия Crysis ransomware.

Моделът RaaS позволява на администраторите на зловредния софтуер да предоставят ransomware инструменти на партньори (афилиейти), които извършват самите атаки.

Според статистиката на ID Ransomware, между май и ноември 2024 г. Phobos е представлявал около 11% от всички подадени ransomware проби.

Ролята на Евгений Птицин

43-годишният Евгений Птицин е екстрадиран от Република Корея през ноември 2024 г. и обвинен в САЩ за:

• управление на инфраструктурата на Phobos

• продажба на достъп до ransomware на афилиейти

• поддръжка и ежедневна координация на операцията

Според съдебните документи престъпната схема е функционирала най-малко от ноември 2020 г., като достъпът до ransomware се е продавал чрез darknet сайт и е бил рекламиран във форуми за киберпрестъпления под псевдонимите:

• derxan

• zimmermanx

Как са се извършвали атаките

Афилиейтите на групата са прониквали в мрежите на жертвите чрез:

• откраднати идентификационни данни

• компрометирани акаунти

• слаби защитни механизми

След проникването те:

1. експортират чувствителни данни

2. криптират файловете на жертвата

3. изискват откуп за декриптиране

Ако жертвата откаже да плати, атакуващите често прибягват до допълнителен натиск, включително:

• имейл заплахи

• телефонни обаждания

• заплаха за публикуване на откраднатите данни онлайн

Финансовият модел на операцията

След успешна атака афилиейтите е трябвало да платят такса от около 300 долара на администраторите на Phobos, за да получат ключ за декриптиране.

Всеки ransomware deployment е получавал уникален алфанумеричен идентификатор, който свързва криптираните файлове със съответния декриптиращ ключ.

Плащанията са се извършвали чрез криптовалутни портфейли, а между декември 2021 г. и април 2024 г. таксите за декриптиране са били прехвърляни към един централен портфейл, контролиран от Птицин.

Международната операция срещу Phobos

Разследването срещу групата е част от международната операция Operation Aether, координирана от Europol.

Сред ключовите резултати от операцията са:

• арест на 47-годишен заподозрян в Полша

• конфискация на компютри, мобилни телефони и данни за достъп до сървъри

• задържане на двама афилиейти през февруари 2025 г.

• изземване на 27 сървъра, използвани за атаките

• арест на друг участник в Италия през 2023 г.

В операцията са участвали правоохранителни органи от 14 държави, с подкрепата на Eurojust.

Предупредени са стотици компании

В резултат на международната операция органите на реда са успели да предупредят над 400 компании по света, които са били потенциални или непосредствени цели на ransomware атаки.

Очаквана присъда

След признанието си за виновен, Евгений Птицин може да получи до 20 години затвор.

Присъдата е насрочена за 15 юли.