47-latek związany z grupą Phobos zatrzymany przez policjantów CBZC - AktualnościCentralne Biuro Zwalczania Cyberprzestępczości

W ramach wspólnych działań funkcjonariuszy Zarządu w Katowicach oraz Zarządu w Kielcach Centralnego Biura Zwalczania Cyberprzestępczości zatrzymano na terenie woj. małopolskiego 47-letniego mężczyznę, u którego na komputerze policjanci zabezpieczyli dane cyfrowe takie jak loginy, hasła, numery kart kredytowych, numery IP serwerów. Dane te mogły być wykorzystane do przeprowadzenia różnych ataków w tym m. in. ransomware. Po wykonaniu czynności technicznych okazało się, że znajdują się na nich dane które mogły być wykorzystane do przełamania zabezpieczeń elektronicznych. Ponadto, jak wynika z informacji zgromadzonych w sprawie 47-latek, wykorzystując szyfrowane komunikatory, kontaktował się z grupą przestępczą Phobos znaną z dokonywanych ataków typu ransomware.

Policjanci podczas przeszukania mieszkania zajmowanego przez osobę podejrzaną, ujawnili urządzenia służące do popełnienia przestępstwa w postaci komputera i telefonów komórkowych. Po wykonaniu czynności technicznych okazało się, że znajdują się na nich dane mogące umożliwić przełamanie zabezpieczeń elektronicznych serwerów. Konsekwencją tego było przedstawienie osobie zatrzymanej zarzutów w związku z przestępstwem polegającym na wytwarzaniu, pozyskiwaniu oraz udostępnianiu programów komputerowych służących do bezprawnego uzyskiwania informacji w tym danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym (art. 269b § 1 Kodeksu karnego). Śledztwo nadzorowane jest przez Prokuraturę Okręgową w Gliwicach. Mężczyźnie grozi kara pozbawienia wolności do lat 5.

Zatrzymanie miało związek z uczestnictwem CBZC w operacji Aether koordynowanej przez Europol. W czasie trwania operacji, organy ścigania odnotowały wymierne sukcesy przeciwko osobom powiązanym z ransomware Phobos – zarówno na poziomie „zaplecza” usługowego (RaaS), jak i operatorów/afiliantów dokonujących włamań i szyfrowania danych. Kluczowe elementy tej presji to ekstradycja domniemanego administratora Phobosa do USA oraz skoordynowane zatrzymania w Europie i poza nią, połączone z działaniami technicznymi wymierzonymi w infrastrukturę cyberprzestępczą.

Grupa o nazwie Phobos to zorganizowana grupa cyberprzestępcza działająca w modelu Ransomware-as-a-Service (RaaS). Oprogramowanie służyło do szyfrowania systemów ofiar, a następnie wymuszania okupu w zamian za odszyfrowanie danych lub nieujawnianie wykradzionych informacji. Model RaaS oznacza, że twórcy oprogramowania udostępniali je afiliantom (partnerom), którzy przeprowadzali ataki i dzielili się zyskami z twórcami złośliwego oprogramowania.

Phobos i jego affiliates (partnerzy) mieli ponad 1 000 ofiar na świecie – w tym szpitale, szkoły, organizacje non-profit, podmioty publiczne i firmy prywatne.

Wśród ofiar wymienia się (konkretne zgłoszone przypadki):

- publiczne szkoły w USA (np. California, Connecticut),

- placówki ochrony zdrowia (np. dostawcy usług medycznych w Maryland),

- firma kontraktująca z Departamentem Obrony USA.

Według dokumentów Departamentu Sprawiedliwości USA, łączna kwota okupu powiązanego z działalnością Phobos przekroczyła 16 milionów USD.  Średnia wartość pojedynczego żądania okupu była relatywnie mniejsza niż w przypadku innych grup ransomware — danymi z niezależnej analizy (ThreatDown) wskazuje się średnią ok. 54 000 USD — jednak w praktyce żądania potrafiły się znacznie różnić.

Istotne jest, że wartości te są szacunkami wynikającymi z publicznie opublikowanych akt oskarżenia i analiz; dokładne przychody są trudne do ustalenia z uwagi na użycie kryptowalut i Darknetu.