Una operación global para aplicar la ley dirigida a la pandilla de fobos de ransomware condujo al arresto de cuatro piratas sospechosos en Phuket, Tailandia y a la incautación de sitios web oscuros de 8BASE. Los sospechosos están acusados de haber realizado ataques cibernéticos con más de 1,000 víctimas en todo el mundo.
Los arrestados, dos hombres y dos mujeres, son europeos que habrían extorsionado $ 16,000,000 en Bitcoin de sus víctimas a lo largo de los años.
La operación policial, llamada “Phobos Aetor”, condujo a redadas coordinadas en cuatro lugares, donde se incautaron computadoras portátiles, teléfonos inteligentes y billeteras de criptomonedas para un análisis forense.
Los arrestos se realizaron a pedido de las autoridades suizas, quienes pidieron al gobierno tailandés que extraditara a los sospechosos.
De acuerdo a Informes de medios localesLos cuatro piratas supuestamente llevaron a cabo ataques de ransomware contra al menos 17 compañías suizas entre abril de 2023 y octubre de 2024.
Durante los ataques, las partes interesadas de amenaza violaron las redes comerciales para robar datos y cifrar archivos. Los actores de amenaza solicitaron pagos de criptomonedas para proporcionar claves de descifrado y evitar la publicación pública de datos.
Los pagos de rescate han sido blanqueados en la mezcla de criptomonedas, lo que hace que la policía siga su última billetera.
Sitios web oscuros 8Base incautados
Hoy, los sitios web oscuros para la operación de ransomware 8BASE también se han incautado en lo que parece ser la misma operación.
Los sitios de negociación y negociación de datos de la pandilla Ransomware 8Base ahora muestran un mensaje de crisis que indica: “Este sitio oculto ha sido incautado. Este sitio oculto y contenido penal fueron incautados por la oficina de la policía penal en nombre de la Oficina del Fiscal General del Fiscal General. en Bamberg.
El mensaje de la incautación también indica que la “Operación Phobos Aetor” involucró a Tailandia, Rumania, Baviera, Alemania, Suiza, Japón, Estados Unidos, Europol, Cheche, España, Francia, Bélgica y el Reino Unido.
Cuando se le preguntó sobre la legitimidad del mensaje de la incautación, Europol dijo que Bleeping completa: “Europol admite una operación internacional contra un grupo de ransomware”.
La Agencia Nacional del Crimen del Reino Unido (NCA) también confirmó a Bleeping Compomput que había desempeñado un papel de apoyo en la operación.
BleepingCompute ha confirmado que los sitios de fuga de datos y negociación de datos en la operación de 8 base se habían incautado como parte de la ley global para la aplicación de la ley.
Fuente: BleepingCompute
8Base es un grupo de ransomware que se lanzó en marzo de 2022, permaneciendo relativamente silencioso hasta junio de 2023, cuando de repente comenzó a huir de datos para muchas víctimas.
Describiéndose a sí mismos como simples “pendientes”, las actividades y la sofisticación de la pandilla de ransomware indicaron que quizás eran un cambio de marca de otra operación o compuestos de piratas experimentados.
VMware ha indicado que la pandilla comparte muchas similitudes con Ransomhouse, incluido el estilo de las notas de rescate y el sitio de fuga de datos, pero no se confirmó que son el mismo grupo.
Al igual que otras operaciones de ransomware, 8Base violaría las redes comerciales y se extendería en silencio lateralmente a través de dispositivos mientras volaba datos comerciales. Cuando tenían acceso al controlador de dominio, las partes interesadas de amenazas encriptarían dispositivos utilizando el ransomware Cifryptor Phobos.
Cuando el cifrado de archivos, el ransomware agrega la extensión .8Base o. Ocho con archivos cifrados.
Durante este proceso, se crean boletos de rescate que requieren un pago de rescate que varía entre cientos de miles de dólares a millones a cambio de una clave de descifrado y la promesa de eliminar y no publicar datos robados.
En 2023, el Ministerio de Salud y Servicios Sociales de los Estados Unidos de los Estados Unidos advirtió que los operadores estaban apuntando a organizaciones de todo el mundo, incluidas las del sector de la atención médica.
“Según los ataques del grupo, 8 base se dirigen principalmente a empresas de SMB con sede en los Estados Unidos, Brasil y el Reino Unido. Los otros países afectados incluyen Australia, Alemania, Canadá y China, entre otras. Boletín HHS.
“Aunque no existe una correlación conocida con Rusia u otros grupos o afiliados de habla rusa, este modelo de exclusión geográfica es una característica para muchos actores de amenazas rusas”.
Algunas víctimas de pandillas de ransomware de alto nivel incluyen Nidec Corporation, un gigante de la tecnología japonesa con una facturación de $ 11 mil millones y el Programa de Desarrollo de las Naciones Unidas (PNUD).