Una operación policial global dirigida contra la banda de ransomware Phobos ha conducido a la detención de dos presuntos piratas informáticos en Phuket (Tailandia) y a la incautación de los sitios web oscuros de 8Base. Los sospechosos están acusados de llevar a cabo ciberataques contra más de 1.000 víctimas en todo el mundo.
Los arrestados, dos hombres rusos, habrían extorsionado a sus víctimas por valor de 16.000.000 de dólares en Bitcoin a lo largo de los años.
La operación policial, denominada en código “Phobos Aetor”, condujo a redadas coordinadas en cuatro lugares, donde se incautaron computadoras portátiles, teléfonos inteligentes y billeteras de criptomonedas para realizar análisis forenses.
Las detenciones se realizaron a petición de las autoridades suizas, que pidieron al gobierno tailandés la extradición de los sospechosos.
Según informes de los medios locales , los cuatro piratas informáticos habrían llevado a cabo ataques de ransomware contra al menos 17 empresas suizas entre abril de 2023 y octubre de 2024.
Durante los ataques, los actores de amenazas vulneraron las redes corporativas para robar datos y cifrar archivos. Luego, exigieron pagos en criptomonedas para proporcionar las claves de descifrado e impedir la divulgación pública de los datos.
Los pagos del rescate se lavaron en plataformas de mezcla de criptomonedas, lo que dificulta que las fuerzas del orden rastreen su billetera final.
Sitios web oscuros de 8Base confiscados
Hoy, los sitios web oscuros utilizados en la operación del ransomware 8Base también fueron confiscados en lo que parece ser la misma operación.
Los sitios de negociación y de filtración de datos de la banda de ransomware 8Base ahora muestran un mensaje de incautación que dice: “ESTE SITIO OCULTO HA SIDO INCAUTADO. Este sitio oculto y el contenido delictivo han sido incautados por la Oficina de la Policía Criminal del Estado de Baviera en nombre de la Oficina del Fiscal General en Bamberg”.
El mensaje de la incautación también indica que en la “Operación Phobos Aetor” participaron Tailandia, Rumania, Baviera, Alemania, Suiza, Japón, Estados Unidos, Europol, Chequia, España, Francia, Bélgica y el Reino Unido.
Cuando se le preguntó sobre la legitimidad del mensaje de incautación, Europol dijo a BleepingComputer: “Europol está apoyando una operación internacional contra un grupo de ransomware”.
La Agencia Nacional contra el Crimen del Reino Unido (NCA) también confirmó a BleepingComputer que jugó un papel de apoyo en la operación.
BleepingComputer ha confirmado que los sitios de negociación y filtración de datos de la operación 8Base fueron confiscados como parte de la operación global de aplicación de la ley.
Fuente: BleepingComputer
8Base es un grupo de ransomware que se lanzó en marzo de 2022 y permaneció relativamente tranquilo hasta junio de 2023, cuando de repente comenzó a filtrar datos de muchas víctimas.
La banda de ransomware se autodescribió como simples “pentesters” y sus actividades y sofisticación indicaban que posiblemente eran una nueva marca de otra operación o que estaban compuestos por piratas informáticos experimentados.
VMware informó que la pandilla comparte muchas similitudes con RansomHouse , incluido el estilo de las notas de rescate y el sitio de filtración de datos, pero no se ha confirmado que sean el mismo grupo.
Al igual que otras operaciones de ransomware, 8Base violaba las redes corporativas y se propagaba silenciosamente de forma lateral a través de los dispositivos mientras robaba datos corporativos. Cuando obtenían acceso al controlador de dominio, los actores de la amenaza cifraban los dispositivos utilizando el cifrador del ransomware Phobos.
Al cifrar archivos, el ransomware agrega la extensión .8base o .eight a los archivos cifrados.
Durante este proceso, se crean notas de rescate que exigen el pago de un rescate que oscila entre cientos de miles de dólares y millones a cambio de una clave de descifrado y la promesa de eliminar y no publicar los datos robados.
En 2023, el Departamento de Salud y Servicios Humanos de Estados Unidos advirtió que los operadores de 8Base estaban apuntando a organizaciones de todo el mundo, incluidas aquellas del sector de la salud.
“Según los ataques del grupo, 8Base se dirige principalmente a empresas PYME con sede en Estados Unidos, Brasil y Reino Unido. Otros países afectados son Australia, Alemania, Canadá y China, entre otros. Cabe destacar que no se han atacado países exsoviéticos o de la CEI”, explica el boletín del HHS .
“Si bien no existe ninguna correlación conocida con Rusia u otros grupos o afiliados de RaaS de habla rusa, este patrón de exclusión geográfica es un sello distintivo de muchos actores de amenazas de habla rusa”.
Algunas de las víctimas más destacadas de la banda de ransomware incluyen a Nidec Corporation , un gigante tecnológico japonés con unos ingresos de 11 mil millones de dólares, y el Programa de las Naciones Unidas para el Desarrollo (PNUD).
Actualización 11/02/25: Se cambiaron el título y la historia para reflejar que fueron dos ciudadanos rusos los arrestados luego de que las autoridades publicaran más información. (editado)
Fuente: Tomado y Traducido de: bleepingcomputer.com
