Le gang de rançongiciel 8base est visiblement “out”. Après deux séries d’interpellations contre Phobos, la franchise criminelle mère, la police thaïlandaise vient visiblement de finir le travail contre le ransomware en mettant les menottes aux poignets de quatre personnes.
Comme l’a annoncé Europol, quatre suspects ont en effet été récemment arrêtés. Ils sont soupçonnés d’avoir déployé une variante du rançongiciel Phobos pour extorquer des “sommes importantes” à leurs victimes.
L’opération internationale a mobilisé quatorze polices du monde entier, principalement d’Europe, dont la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. Elle a également permis d’avertir plus de 400 organisations qui étaient visées par une attaque par rançongiciel.
La chasse aux PME
Dans un communiqué distinct, la justice américaine a dévoilé les poursuites contre deux Russes d’une trentaine d’années, Roman Berezhnoy et Egor Glebov. Il s’agit visiblement d’une partie des suspects arrêtés en Thaïlande. Outre 8base, les deux hommes sont accusés d’avoir lancé une autre organisation criminelle dénommée « Affiliate 2803 ».
Phobos avait une particularité, signale Europol. Ce rançongiciel repéré en décembre 2018 ne pratiquait pas la chasse au gros poisson, mais s’attaquait plutôt à de nombreuses petites et moyennes entreprises. Phobos était également “particulièrement accessible à un large éventail d’acteurs criminels”, comme 8base, présenté comme l’une de ses filiales, poursuit l’agence de police européenne. La franchise permettait ainsi de personnaliser ses campagnes “avec une expertise technique minimale”.
8base s’était spécialisé dans la double extorsion, en accompagnant le chiffrement d’une menace de publication des informations volées. Bien qu’il ne soit devenu actif qu’à partir du printemps 2023, les experts en sécurité informatique situent son apparition en 2022. 8base s’était alors fait remarquer par le nombre de ses attaques, faisant de Phobos/8base l’une des principales familles de rançongiciel ayant visé des organisations françaises en 2023, selon un rapport du ministère de l’Intérieur.
Arrestations
Les cybercriminels avaient par exemple affirmé avoir piraté la Ligue de l’enseignement de l’Isère ou encore la plateforme multimodale Lyon Terminal. Toutefois, le vent avait tourné pour la franchise à partir de l’automne 2023.
Un couple de Russes originaires de Saint-Pétersbourg avaient été arrêtés en Italie à la demande de la justice française. Les policiers de la brigade de lutte contre la cybercriminalité de la Préfecture de police de Paris enquêtaient depuis quatre ans sur ce malware. Ils les soupçonnent d’avoir été des affiliés de la franchise cybercriminelle.
Un an plus tard, en novembre 2024, c’est cette fois-ci la justice américaine qui annonçait l’arrestation d’un suspect en Corée du sud. Evgenii Ptitsyn, un Russe d’une quarantaine d’années, est considéré comme l’un des administrateurs de Phobos. Il est désormais est accusé d’avoir été le complice du millier d’attaques recensées ayant permis d’extorquer plus de 16 millions de dollars de rançons.