Una operación conjunta liderada por Europol y la Policía Tailandesa resultó en la captura de cuatro presuntos ciberdelincuentes en ese país y la incautación de los sitios web de la banda de ransomware 8Base.
Un operativo internacional denomindado “Phobos Aetor” ha resultado en el arresto de cuatro presuntos cibercriminales en la ciudad de Phuket, Tailandia, y con la incautación de los sitios en la dark web utilizados por la banda 8Base. Los sospechosos, dos hombres y dos mujeres de origen europeo, están acusados de haber llevado a cabo ciberataques contra más de mil víctimas en todo el mundo, acumulando alrededor de 16 millones de dólares en Bitcoin a partir de las extorsiones realizadas.
La operación policial, denominada se llevó a cabo en cuatro ubicaciones diferentes, donde las autoridades incautaron laptops, smartphones y billeteras de criptomonedas para su análisis forense.
Los arrestos fueron solicitados por las autoridades suizas, que ahora buscan la extradición de los detenidos.
Según medios locales, los cibercriminales habrían ejecutado ataques de ransomware contra al menos 17 empresas suizas entre abril de 2023 y octubre de 2024. Durante estos ataques, los ciberdelincuentes lograron infiltrarse en diferentes redes corporativas para robar datos y cifrar archivos, exigiendo luego pagos en criptomonedas a cambio de las claves de descifrado y la promesa de no divulgar la información sustraída. Para evitar el rastreo de las transacciones, los rescates eran lavados a través de plataformas de mezcla de criptomonedas.
Como parte del operativo policial los sitios de la banda 8Base también fueron incautados. Ahora, en las plataformas de negociación y filtración de datos del grupo aparece un mensaje indicando “Este sitio ha sido incautado. Este sitio oculto y su contenido criminal han sido confiscados por la Oficina de la Policía Criminal del Estado de Baviera en nombre de la Fiscalía General en Bamberg.»
El mensaje también confirma que la operación Phobos Aetor contó con la participación de agencias de seguridad de Tailandia, Rumania, Alemania, Suiza, Japón, Estados Unidos, Europol, República Checa, España, Francia, Bélgica y el Reino Unido.
El grupo de ransomware 8Base emergió en marzo de 2022 y, tras operar con relativa discreción durante su primer año, comenzó a filtrar datos masivamente en junio de 2023.
Aunque sus miembros se describían como simples pentesters (expertos en pruebas de penetración), su nivel de sofisticación sugería que podían ser una reaparición de una banda anterior o un grupo conformado por hackers experimentados.
De acuerdo a especialistas de VMware, el grupo de ransomware 8Base compartía similitudes con el grupo RansomHouse, tanto en el estilo de las notas de rescate como en su plataforma de filtración de datos. Sin embargo, hasta ahora no se ha confirmado que se trate del mismo grupo.
El modus operandi de 8Base consistía en infiltrarse en redes corporativas y moverse lateralmente entre dispositivos antes de robar información y cifrar archivos con el malware Phobos. Al bloquear los datos, los atacantes añadían las extensiones .8base o .eight a los archivos comprometidos. Las víctimas recibían notas de rescate exigiendo pagos de entre cientos de miles y millones de dólares a cambio de la clave de descifrado y la promesa de eliminar los datos robados sin hacerlos públicos.
En 2023, el Departamento de Salud y Servicios Humanos de los Estados Unidos advirtió que 8Base estaba atacando organizaciones en todo el mundo, incluyendo el sector de la salud. «Según los ataques registrados, 8Base apunta principalmente a pequeñas y medianas empresas en Estados Unidos, Brasil y el Reino Unido. Otros países afectados incluyen Australia, Alemania, Canadá y China, mientras que curiosamente no se han registrado ataques en naciones exsoviéticas o de la Comunidad de Estados Independientes (CIS)», indicaba un informe de la agencia.
Este martes Departamento de Justicia de los Estados Unidos anunció los nombres de dos afiliados del ransomware Phobos arrestados en Tailandia. Las identidades corresponden a Roman Berezhnoy (33) y Egor Nikolaevich Glebov (39), ambos ciudadanos de nacionalidad rusa.
El Departamento de Justicia norteamericano afirma que Berezhnoy y Glebov eran los operadores de las plataformas “8Base” y “Affiliate 2803”, y que ambas utilizaban el ransomware Phobos en sus ataques.
La lista de cargos que ambos sujetos enfrentan es por los delitos de Conspiración para cometer fraude electrónico, fraude electrónico, conspiración para cometer fraude y abuso informático, daños intencionales a computadoras protegidas, extorsión relacionada con daños a una computadora protegida, transmitir una amenaza para perjudicar la confidencialidad de los datos robados, acceso no autorizado y obtención de información de un equipo protegido. De ser declarados culpables, podrían enfrentar hasta 20 años por lo delitos de fraude electrónico, 10 años por daños informáticos y otros 5 años por el resto de los cargos.
Por su parte, Europol reveló que las autoridades policiales eliminaron 27 servidores asociados con el grupo de ransomware 8Base, poniendo fin a sus operaciones, y además entregó un comunicado en el que explicó que un arresto clave de un afiliado de Phobos en Italia el año 2023 permitió a sus investigadores infiltrarse en la operación y obtener información que ayudó a proteger a cientos de objetivos.