Nick Freund - Fotolia

Ransomware : fin de parcours pour le créateur de Phobos

Le ministère de la Justice américain vient de lever le voile sur les accusations portées à l’encontre de Evgenii Ptitsyn, un ressortissant russe âgé de 42 ans. Le développement du rançongiciel Phobos lui est imputé.

Le créateur et administrateur du ransomware en mode service Phobos a été extradé de Corée du Sud vers les États-Unis, le 4 novembre dernier. C’est ce que révèle le ministère de la Justice américain, qui en dévoile au passage l’identité : Evgenii Ptitsyn.

Ce ressortissant russe âgé de 42 ans est accusé « d’administrer la vente, la distribution et le fonctionnement du ransomware Phobos ». 

Dans un communiqué de presse, le ministère américain de la Justice indique que « le ransomware Phobos, par l’intermédiaire de ses affiliés, a fait des victimes dans plus de 1 000 entités publiques et privées aux États-Unis et dans le monde entier, et a extorqué des paiements de rançon d’une valeur de plus de 16 millions de dollars ».

Phobos compte parmi les rançongiciels « bas de gamme » efficaces, mais rarement employés contre des cibles très en vue pour produire des demandes de rançon à plusieurs millions de dollars. 

Ces ransomwares n’en continuent pas moins de faire des victimes : elles sont simplement généralement peu visibles du fait de montants exigés peu élevés, pour des rançons plus susceptibles d’être payées ; et les victimes qui refusent de céder au chantage ne sont pas épinglées sur un site vitrine. 

Il y a toutefois des exceptions à cette dernière règle. Ainsi, le groupe 8base utilise un variant de Phobos pour conduire ses cyberattaques. Ce groupe s’est d’ailleurs récemment fait remarquer en revendiquant une attaque contre Volkswagen. Lequel a confirmé être au courant d’un incident n’ayant pas affecté sa propre infrastructure IT.

Selon le procureur général américain, « Evgenii Ptitsyn aurait extorqué des millions de dollars de rançons à des milliers de victimes ». Le montant total collecté s’élèverait plus de 16 millions de dollars. 

Dans un billet sur X (ex-Twitter), Alexander Leslie, analyste en renseignement sur les menaces chez Recorded Future, indique que l’entreprise a « récemment constaté une baisse significative des soumissions [d’échantillons] Phobos [dans ses bacs à sable d’analyse], 8base s’étant complètement arrêté le mois dernier ». Et de conclure : « nous avons une explication ».

Pour approfondir sur Cyberdélinquance