Zatrzymano 47-latka związanego z grupą Phobos

W ramach wspólnych działań funkcjonariuszy Zarządu w Katowicach oraz Zarządu w Kielcach Centralnego Biura Zwalczania Cyberprzestępczości zatrzymano na terenie woj. małopolskiego 47-letniego mężczyznę, u którego na komputerze policjanci zabezpieczyli dane cyfrowe takie jak loginy, hasła, numery kart kredytowych, numery IP serwerów. Dane te mogły być wykorzystane do przeprowadzenia różnych ataków w tym ransomware.

-Po wykonaniu czynności technicznych okazało się, że znajdują się na nich dane które mogły być wykorzystane do przełamania zabezpieczeń elektronicznych –informuje Biuro Prasowe KWP w Kielcach. Ponadto, jak wynika z informacji zgromadzonych w sprawie 47-latek, wykorzystując szyfrowane komunikatory, kontaktował się z grupą przestępczą Phobos znaną z dokonywanych ataków typu ransomware.

Policjanci podczas przeszukania mieszkania zajmowanego przez osobę podejrzaną, ujawnili urządzenia, służące do popełnienia przestępstwa, w postaci komputera i telefonów komórkowych. Jak się okazało, znajdowały się na nich dane mogące umożliwić przełamanie zabezpieczeń elektronicznych serwerów. Konsekwencją tego było przedstawienie osobie zatrzymanej zarzutów w związku z przestępstwem polegającym na wytwarzaniu, pozyskiwaniu oraz udostępnianiu programów komputerowych służących do bezprawnego uzyskiwania informacji w tym danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym (art. 269b § 1 Kodeksu karnego). Śledztwo nadzorowane jest przez Prokuraturę Okręgową w Gliwicach. Mężczyźnie grozi kara pozbawienia wolności do lat 5.

Zatrzymanie miało związek z uczestnictwem CBZC w operacji Aether koordynowanej przez Europol. W czasie trwania operacji, organy ścigania odnotowały wymierne sukcesy przeciwko osobom powiązanym z ransomware Phobos – zarówno na poziomie „zaplecza” usługowego (RaaS), jak i operatorów/afiliantów dokonujących włamań i szyfrowania danych. Kluczowe elementy tej presji to ekstradycja domniemanego administratora Phobosa do USA oraz skoordynowane zatrzymania w Europie i poza nią, połączone z działaniami technicznymi wymierzonymi w infrastrukturę cyberprzestępczą.

Grupa o nazwie Phobos to zorganizowana grupa cyberprzestępcza działająca w modelu Ransomware-as-a-Service (RaaS). Oprogramowanie służyło do szyfrowania systemów ofiar, a następnie wymuszania okupu w zamian za odszyfrowanie danych lub nieujawnianie wykradzionych informacji. Model RaaS oznacza, że twórcy oprogramowania udostępniali je afiliantom (partnerom), którzy przeprowadzali ataki i dzielili się zyskami z twórcami złośliwego oprogramowania.

Phobos i jego affiliates (partnerzy) mieli ponad 1.000 ofiar na świecie – w tym szpitale, szkoły, organizacje non-profit, podmioty publiczne i firmy prywatne. Wśród ofiar wymienia się (konkretne zgłoszone przypadki): publiczne szkoły w USA (np. California, Connecticut), placówki ochrony zdrowia (np. dostawcy usług medycznych w Maryland), firma kontraktująca z Departamentem Obrony USA.

Według dokumentów Departamentu Sprawiedliwości USA, łączna kwota okupu powiązanego z działalnością Phobos przekroczyła 16 milionów USD.  Średnia wartość pojedynczego żądania okupu była relatywnie mniejsza niż w przypadku innych grup ransomware - danymi z niezależnej analizy (ThreatDown) wskazuje się średnią ok. 54 000 USD - jednak w praktyce żądania potrafiły się znacznie różnić. Istotne jest, że wartości te są szacunkami wynikającymi z publicznie opublikowanych akt oskarżenia i analiz; dokładne przychody są trudne do ustalenia z uwagi na użycie kryptowalut i Darknetu.