Ransomware : la pelote des acteurs liés à Phobos continue d’être déroulée

« Un homme de 47 ans a été arrêté dans la province de Małopolska », expliquait la police polonaise le 17 février. Pas n’importe qui, toutefois : « d’après les informations recueillies dans le dossier, l’homme de 47 ans utilisait des messageries chiffrées pour communiquer avec le groupe criminel Phobos, connu pour ses attaques de type ransomware ».

Ses équipements informatiques ont été saisis et inspectés : « il s’est avéré que ces appareils contenaient des données permettant de contourner les dispositifs de sécurité électroniques des serveurs ».

Cette arrestation s’inscrit dans le cadre de l’opération Aether d’Europol ; celle-là même qui a conduit à la fin des activités de l’enseigne de ransomware 8base. Elle était connue pour exploiter le ransomware Phobos, qui compte parmi les rançongiciels « bas de gamme » efficaces, mais rarement employés contre des cibles très en vue pour produire des demandes de rançon à plusieurs millions de dollars. 

Ces ransomwares n’en continuent pas moins de faire des victimes : elles sont simplement généralement peu visibles du fait de montants exigés peu élevés, pour des rançons plus susceptibles d’être payées ; et les victimes qui refusent de céder au chantage ne sont pas épinglées sur un site vitrine.

Le créateur et administrateur de Phobos avait été extradé de Corée du Sud vers les États-Unis, le 4 novembre 2024. C’est ce que révélait, deux semaines plus tard, le ministère de la Justice américain, qui en dévoilait au passage l’identité : Evgenii Ptitsyn. Ce ressortissant russe âgé de 42 ans est accusé « d’administrer la vente, la distribution et le fonctionnement du ransomware Phobos ».

Son arrestation, puis son extradition ont vraisemblablement conduit à la découverte de liens ayant mené au démantèlement de 8base et à de nouvelles arrestations en Thaïlande.

Ainsi, quatre suspects européens ont été interpellés à Phuket, selon la presse locale : ils sont accusés d’avoir lancé des cyberattaques en exploitant le rançongiciel Phobos par les autorités judiciaires suisse et américaine.  

L’interpellation en Pologne d’un individu soupçonné d’avoir été lié aux activités de Phobos est survenue quelques jours après que s’ouvrait, en France, le procès de deux ressortissants russes accusés, eux aussi, d’avoir été impliqués dans les cyberattaques avec ce rançongiciel. Une soixantaine d’organisations françaises auraient été touchées entre 2019 et 2022.

L’un des deux prévenus a été condamné, le 19 février, à cinq ans de prison, dont un avec sursis, avec 80 000 euros d’amende.