Ransomware Phobos/8Base

Przeprowadzona analiza zagrożeń pozwoliła na wykazanie grup ransomware Phobos i 8Base jako jednych z najbardziej aktywnych w 2024 r.

Wykryte po raz pierwszy w grudniu 2018 r. oprogramowanie ransomware Phobos stało się narzędziem wykorzystywanym przez cyberprzestępców w wielkoskalowych atakach wymierzonych w firmy i organizacje na całym świecie, które często nie posiadają wdrożonych systemów zapewniających wymagany poziom cyberbezpieczeństwa.

Jego model Ransomware-as-a-Service (RaaS) sprawił, że złośliwe oprogramowanie było dostępne dla szerokiego grona odbiorców, zarówno od pojedynczych osób po zorganizowane grupy w tym, 8Base. Łatwość w uzyskaniu dostępu oraz dostosowanie modelu oprogramowania pozwalała cyberprzestępcom na ich szerokie zastosowanie przy znikomej wiedzy technicznej, co sprawiło, że takie rozwiązanie zyskało na szerokiej popularności.

Wynikiem działalności oprogramowania ransomware jest uniemożliwienie dostępu do zawartości danych poprzez ich zaszyfrowanie, a następnie wymuszenie okupu w zamian za ich odszyfrowanie, którego zapłata najczęściej odbywa się w kryptowalutach.

W listopadzie 2024 r. w sądzie okręgowym w Stanach Zjednoczonych został przedstawiony akt oskarżenia obywatelowi Rosji za kierowanie grupą ransomware Phobos, której członkowie dokonali ponad 2000 ataków ransomware w Stanach Zjednoczonych i reszcie świata. Grupa włamywała się nie tylko do dużych korporacji ale także do szkół, szpitali, organizacji non-profit, czego skutkiem było wyłudzenie ponad 16 milionów dolarów okupu.

W lutym 2025 r. w wyniku międzynarodowej akcji organów ścigania zostały zatrzymane osoby narodowości rosyjskiej kierujące grupą 8Base oraz została zabezpieczona infrastruktura wykorzystywana do ataków, o czym można przeczytać w artykułach:

• Główne osoby stojące za atakami ransomware Phobos i 8Base zatrzymane w ramach międzynarodowej realizacji wymierzonej przeciwko cyberprzestępczości
• Phobos Ransomware Administrator Extradited from South Korea to Face Cybercrime Charges

Narzędzie deszyfrujące

Policja japońska we współpracy ze Stanami Zjednoczonymi (FBI) opracowała narzędzie do deszyfracji plików pochodzących z oprogramowania ransomware Phobos/8Base, w wyniku działalności którego zostało dotkniętych co najmniej 2000 firm i organizacji na całym świecie. Prace nad deszyfratorem trwały ponad rok, polegały na analizowaniu mechanizmu szyfrowania przez ransomware Phobos/8Base oraz jego inżynierii wstecznej, co pozwoliło na stworzenie opisywanego narzędzia.

Decyzją Europol’u została rozpowszechniona informacja na temat stworzonego dekryptora przy jednoczesnym zachęceniu do jego wykorzystania, umożliwiając organizacjom pomagającym ofiarom na całym świecie proces odbudowy po przeprowadzonych atakach. Przyświecała temu perspektywa promowania przeciwdziałania oprogramowaniu ransomware na skalę globalną.

Narzędzie zostało udostępnione nieodpłatnie dla wszystkich osób, firm i instytucji, które padły ofiarą oprogramowania ransomware Phobos/8Base i jest dostępne do pobrania na witrynie internetowej www.nomoreransom.org i policji japońskiej.

Współpraca służb w zakresie walki z oprogramowaniem ransomware

W czerwcu 2025 r. w ramach przedsięwzięcia zorganizowanego przez Szwajcarską Policję Federalną w siedzibie Fedpol odbyły się warsztaty, w których udział wziął funkcjonariusz Centralnego Biura Zwalczania Cyberprzestępczości oraz inni przedstawiciele krajów tj. Stanów Zjednoczonych, Wielkiej Brytanii, Niemiec, Belgii, Japonii, Singapuru, Hiszpanii, Francji, a także przedstawiciele Europol’u. Spotkanie dotyczące tematyki przeciwdziałania oprogramowaniu ransomware Phobos umożliwiło wymianę doświadczeń, kooperację pomiędzy krajami członkowskimi, dalsze i skuteczne przeciwdziałanie cyberprzestępczości, a także wypracowanie mechanizmów obronnych czego wynikiem jest powstanie deszyfratora.

(CBZC/ mw)

Napisz komentarz!