En Phobos-ransomwareadministrator har erkjent skyld i å ha deltatt i en stor cyberkriminalitetsoperasjon. Amerikanske påtalemyndigheter sier at administratoren bidro til å drive en ransomwaretjeneste som ble brukt i angrep mot organisasjoner over hele verden.
Saken markerer en viktig utvikling i den internasjonale kampen mot ransomwaregrupper. Etterforskere opplyser at operasjonen gjorde det mulig for hundrevis av cyberkriminelle samarbeidspartnere å gjennomføre angrep mot bedrifter og offentlige institusjoner.
Myndighetene knyttet ransomwaretjenesten til tusenvis av ofre i flere land.
Administrator spilte en nøkkelrolle i ransomwareoperasjonen
Påtalemyndigheten identifiserte administratoren som Evgenii Ptitsyn, en russisk statsborger som er anklaget for å ha bidratt til å administrere infrastrukturen bak Phobos-ransomware. Etterforskere sier at han støttet plattformen som samarbeidspartnere brukte til å gjennomføre angrep.
Myndighetene utleverte Ptitsyn fra Sør-Korea til USA i 2024. Etter ankomsten ble han tiltalt av føderale påtalemyndigheter for å ha deltatt i en bedragerikonspirasjon knyttet til ransomwareangrep.
Etterforskere mener Phobos-operasjonen rettet seg mot organisasjoner over hele verden. Ofrene inkluderte selskaper, helseorganisasjoner, offentlige myndigheter og andre institusjoner.
Angrepene genererte løsepengebetalinger på titalls millioner dollar over flere år.
Phobos opererte som ransomware-as-a-service
Phobos fungerte som en ransomware-as-a-service-plattform som gjorde det mulig for samarbeidspartnere å gjennomføre angrep ved hjelp av delt infrastruktur. Administratorer vedlikeholdt skadevaren og backend-systemene som ble brukt i kampanjene.
Samarbeidspartnere sto for innbruddene og distribuerte ransomware i kompromitterte nettverk. Etter krypteringen mottok ofrene instruksjoner om å betale for å få tilgang til dataene sine igjen.
Denne modellen gjorde det mulig for operasjonen å skalere raskt mot mange mål. Cyberkriminelle med begrensede tekniske ferdigheter kunne likevel gjennomføre ransomwareangrep ved å bli med i programmet.
Administratorer mottok vanligvis en andel av hver løsepengebetaling som samarbeidspartnerne genererte.
Kriminelle forum ble brukt til å rekruttere samarbeidspartnere
Etterforskere sier at Phobos-administratorene markedsførte ransomwaretjenesten sin på underjordiske cyberkriminalitetsforum. Disse plattformene gjorde det mulig å rekruttere partnere og promotere verktøyene.
Samarbeidspartnere som ble med i programmet fikk tilgang til ransomware-versjoner, dokumentasjon og støttetjenester. Infrastrukturen gjorde det også mulig å administrere ofre og spore løsepengebetalinger.
Administratoren skal ha brukt flere nettalias mens han opererte i disse miljøene. Disse identitetene bidro til å skjule rollen hans i operasjonen.
Senere knyttet politimyndighetene disse kontoene til det bredere ransomware-nettverket.
Internasjonal etterforskning rettet seg mot ransomware-nettverket
Myndighetene sier etterforskningen krevde samarbeid mellom flere internasjonale politimyndigheter. Etterforskere arbeidet på tvers av jurisdiksjoner for å spore infrastrukturen og identifisere mistenkte.
Grenseoverskridende samarbeid har blitt avgjørende i etterforskning av ransomwaregrupper. Slike nettverk opererer ofte i flere land og bruker distribuert infrastruktur.
Tjenestemenn sier saken viser hvordan koordinerte etterforskninger kan forstyrre ransomwareoperasjoner.
Politimyndighetene fortsetter å etterforske andre personer som er knyttet til Phobos-nettverket.
Konklusjon
Tilståelsen fra en Phobos-ransomwareadministrator viser det økende presset mot organiserte cyberkriminalitetsgrupper. Etterforskere knyttet ransomwaretjenesten til angrep som rammet organisasjoner i mange sektorer.
Saken viser også hvordan ransomwareoperasjoner er avhengige av komplekse partnernettverk og delt infrastruktur. Ved å rette seg mot administratorer og operatører forsøker myndighetene å svekke økosystemet som muliggjør disse angrepene.
Internasjonalt samarbeid vil fortsatt være avgjørende etter hvert som politimyndigheter forfølger andre medlemmer av ransomware-nettverket.
0 svar til “Phobos-ransomwareadministrator erkjenner skyld i cyberkriminalitetskonspirasjon”