Leállították az 8Base ransomware leak oldalát
Egy nemzetközi bűnüldözési művelet keretében leállították az 8Base ransomware csoport szivárogtató oldalát 2025. február 10-én. A weboldal megjelenő bannert órákkal azután tették közzé, hogy thaiföldi hírügynökségek arról számoltak be, hogy letartóztattak négy személyet, akik a gyanú szerint részt vettek az 8Base ransomware műveletben. A banneren az Europol logóján kívül az FBI, az Egyesült Királyság Nemzeti Bűnüldözési Hivatala, valamint olyan országok szövetségi rendőrségi szerveinek logói jelentek meg, mint Belgium, Franciaország, Németország, Japán, Románia, Spanyolország, Csehország, Svájc és Thaiföld.
A gyanú szerint a letartóztatott személyek kapcsolatba hozhatók a Phobos ransomware-rel 2023 áprilisa és 2024 októbere között 17 svájci székhelyű vállalat ellen elkövetett kibertevékenységgel. A csoportot azzal vádolják, hogy 16 millió dollárt keresett több mint 1000 áldozatot követelő támadásokkal. A 8Base 2023-ban tűnt fel jelentős ransomware szereplőként. A csoport korábban a Phobos ransomware elemeket épített be pénzügyileg motivált kibertámadásaikba. A VMware korábbi kutatása felfedett egy Phobos mintát, amely .8base fájlkiterjesztést használt a titkosított fájlokon. A 8Base és a RansomHouse között is találtak átfedéseket, különösen a váltságdíjfizetési feljegyzések és a dark web infrastruktúra tekintetében.
A Phobos ransomware a Dharma/Crysis ransomware továbbfejlesztése, és a 2019-es első megfigyelése óta csak minimális fejlődésen ment keresztül, annak ellenére, hogy népszerű a kiberbűnözői csoportok körében. A Cisco Talos korábbi jelentésében a VirusTotalban található minták mennyisége alapján a Phobos ransomware család öt változatát azonosította. A minták mindegyike ugyanazt a forráskódot tartalmazta, és úgy voltak konfigurálva, hogy ne titkosíthassanak olyan fájlokat, amelyeket más Phobos-t használó kiberszereplő már zárolt. Például az 8Base ransomware csoport által telepített Phobos minta tartalmazott egy listát más Phobos-változatokról, amelyeket kivételek voltak a titkosítás alól. A konfigurációs bejegyzések közös tendenciája volt az összes minta esetében az, hogy az adott minta mögött álló csoport neve hozzá lett adva a lista elejéhez.
2024. novemberben megtörtént a kiadatása annak az orosz állampolgárnak, aki állítólag koordinálta a Phobos Ransomware értékesítését, terjesztését és üzemeltetését. Az amerikai Igazságügyi Minisztérium 2024. november 18-án eljárást indított a 42 éves orosz állampolgárságú Evgenii Ptitsyn ellen.
