Nick Freund - Fotolia
Ransomware : fin de parcours pour le créateur de Phobos
Le ministère de la Justice américain vient de lever le voile sur les accusations portées à l’encontre de Evgenii Ptitsyn, un ressortissant russe âgé de 42 ans. Le développement du rançongiciel Phobos lui est imputé.
Le créateur et administrateur du ransomware en mode service Phobos a été extradé de Corée du Sud vers les États-Unis, le 4 novembre dernier. C’est ce que révèle le ministère de la Justice américain, qui en dévoile au passage l’identité : Evgenii Ptitsyn.
Ce ressortissant russe âgé de 42 ans est accusé « d’administrer la vente, la distribution et le fonctionnement du ransomware Phobos ».
Dans un communiqué de presse, le ministère américain de la Justice indique que « le ransomware Phobos, par l’intermédiaire de ses affiliés, a fait des victimes dans plus de 1 000 entités publiques et privées aux États-Unis et dans le monde entier, et a extorqué des paiements de rançon d’une valeur de plus de 16 millions de dollars ».
Phobos compte parmi les rançongiciels « bas de gamme » efficaces, mais rarement employés contre des cibles très en vue pour produire des demandes de rançon à plusieurs millions de dollars.
Ces ransomwares n’en continuent pas moins de faire des victimes : elles sont simplement généralement peu visibles du fait de montants exigés peu élevés, pour des rançons plus susceptibles d’être payées ; et les victimes qui refusent de céder au chantage ne sont pas épinglées sur un site vitrine.
Il y a toutefois des exceptions à cette dernière règle. Ainsi, le groupe 8base utilise un variant de Phobos pour conduire ses cyberattaques. Ce groupe s’est d’ailleurs récemment fait remarquer en revendiquant une attaque contre Volkswagen. Lequel a confirmé être au courant d’un incident n’ayant pas affecté sa propre infrastructure IT.
Selon le procureur général américain, « Evgenii Ptitsyn aurait extorqué des millions de dollars de rançons à des milliers de victimes ». Le montant total collecté s’élèverait plus de 16 millions de dollars.
Dans un billet sur X (ex-Twitter), Alexander Leslie, analyste en renseignement sur les menaces chez Recorded Future, indique que l’entreprise a « récemment constaté une baisse significative des soumissions [d’échantillons] Phobos [dans ses bacs à sable d’analyse], 8base s’étant complètement arrêté le mois dernier ». Et de conclure : « nous avons une explication ».
Pour approfondir sur Cyberdélinquance
-
Ransomware : quand deux revendications ne sont pas synonymes de deux attaquants
-
Revendication 8base : Volkswagen assure que son SI n’est pas touché
-
Ransomware : quand les attaquants s’attachent à négocier à huis clos
-
Ransomware : ceux qui font le plus parler d’eux ne sont (toujours) pas les plus répandus