La justice américaine a annoncé, lundi 18 novembre, des poursuites visant Evgenii Ptitsyn, un ressortissant russe. Il est soupçonné d’être un opérateur, c’est-à-dire une tête pensante, du rançongiciel Phobos, un outil conçu pour paralyser des ordinateurs et des réseaux informatiques.
L’homme de 42 ans est ainsi accusé d’avoir conçu et mis en vente ce logiciel, qui était accessible sur un site vitrine sur le darknet. Utilisant les pseudonymes « derxan » et « zimmermanx », il distribuait le rançongiciel auprès de ce qu’on appelle des « affiliés », des pirates spécialisés dans l’intrusion et qui menaient des attaques contre des entreprises et des particuliers.
Pour ses complices, la marche à suivre était assez simple : ils menaient d’abord eux-mêmes l’attaquent et récupéraient la rançon directement auprès de la victime, puis ils en versaient une part aux opérateurs de Phobos, qui communiquaient alors la clé de déchiffrement à envoyer à la victime pour qu’elle puisse récupérer l’accès à ses fichiers. Selon les autorités américaines, le portefeuille (wallet) de cryptomonnaies utilisé par Phobos pour récupérer sa part auprès des affiliés envoyait ensuite de l’argent à un autre portefeuille, contrôlé par Evgenii Ptitsyn. Inculpé entre autres pour extorsion, il encourt plusieurs décennies de prison.
Plus d’un millier de victimes
Alors que certains gangs de rançongiciels, s’entourant d’équipes plus restreintes, ont tendance à cibler les très grandes entreprises ou collectivités pour demander des rançons mirobolantes, Phobos passait sous le radar, avec des cibles de taille plus modeste. Les victimes sont souvent de petites entités, à qui les pirates demandaient des montants de rançon bien moins élevés que ce qui est observé habituellement. Les autorités américaines dénombrent ainsi plus d’un millier de victimes dans le monde, pour un gain total d’environ 16 millions de dollars en rançons. En France, où une enquête est menée depuis 2019 par la brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police sur l’utilisation de ce rançongiciel, on comptait il y a un an environ 200 victimes.
Au cours de l’été 2023, sur demande de la France, les autorités italiennes ont arrêté un couple de citoyens russes soupçonnés d’être des affiliés de Phobos. Mis en examen en octobre de la même année des chefs d’accès, de maintien frauduleux, d’entrave et de modification frauduleuse dans un système de traitement automatisé de données, d’extorsion en bande organisée, de blanchiment aggravé en bande organisée et d’association de malfaiteurs, ils sont toujours en détention provisoire.
Soupçonné d’être relié à un précédent rançongiciel appelé Dharma, Phobos aurait ces dernières années donné naissance à de nombreuses variantes, comme Backmydata et 8base. Lundi, le chercheur Alexander Leslie, spécialiste au sein de l’entreprise de sécurité informatique Recorded Future, notait qu’au cours du dernier trimestre, les détections de Phobos et de ses variantes avaient chuté « significativement » au cours « du dernier trimestre », suggérant que l’arrestation d’Evgenii Ptitsyn pouvait être l’une des explications.