(https://i.postimg.cc/MpZWyzx7/Hacker-law-enforcement-arrest-bright.png) (https://postimages.org/)
Una operación policial global dirigida contra la banda de ransomware Phobos ha llevado al arresto de cuatro presuntos piratas informáticos en Phuket, Tailandia, y a la incautación de los sitios web de 8Base. Los sospechosos están acusados de realizar ciberataques a más de 1.000 víctimas en todo el mundo.
Los detenidos, dos hombres y dos mujeres, son europeos que, según se informa, extorsionaron a sus víctimas por valor de 16.000.000 de dólares en bitcoins a lo largo de los años.
La operación policial, cuyo nombre en código es "Phobos Aetor", dio lugar a redadas coordinadas en cuatro lugares, donde se incautaron ordenadores portátiles, teléfonos inteligentes y carteras de criptomonedas para su análisis forense.
Los arrestos se realizaron a petición de las autoridades suizas, que han pedido al gobierno tailandés que extradite a los sospechosos.
Según informes de los medios locales, los cuatro piratas informáticos habrían llevado a cabo ataques de ransomware contra al menos 17 empresas suizas entre abril de 2023 y octubre de 2024.
Durante los ataques, los actores de amenazas violaron las redes corporativas para robar datos y cifrar archivos. Luego, los actores de amenazas exigieron pagos en criptomonedas para proporcionar las claves de descifrado e impedir la publicación de los datos.
Los pagos de rescate se blanquearon en plataformas de mezcla de criptomonedas, lo que dificultó a las fuerzas del orden rastrear su billetera final.
Sitios web de 8Base confiscados
Hoy, los sitios web de la operación de ransomware 8Base también fueron confiscados en lo que parece ser la misma operación.
Los sitios de negociación y filtración de datos de la banda de ransomware 8Base ahora muestran un mensaje de confiscación que dice: "ESTE SITIO OCULTO HA SIDO INCAUSCADO. Este sitio oculto y el contenido criminal han sido confiscados por la Oficina de Policía Criminal del Estado de Baviera en nombre de la Oficina del Fiscal General en Bamberg".
El mensaje de confiscación también indica que la "Operación Phobos Aetor" involucró a Tailandia, Rumania, Baviera, Alemania, Suiza, Japón, EE. UU., Europol, Chequia, España, Francia, Bélgica y el Reino Unido.
Cuando se le preguntó sobre la legitimidad del mensaje de confiscación, Europol le dijo a BleepingComputer: "Europol está apoyando una operación internacional contra un grupo de ransomware".
La Agencia Nacional contra el Crimen (NCA) del Reino Unido también confirmó a BleepingComputer que desempeñó un papel de apoyo en la operación.
BleepingComputer ha confirmado que los sitios de negociación y filtración de datos de la operación 8Base fueron confiscados como parte de la operación global de aplicación de la ley.
(https://www.bleepstatic.com/images/news/u/1220909/2025/February/banner.jpg)
8Base es un grupo de ransomware que se lanzó en marzo de 2022 y permaneció relativamente tranquilo hasta junio de 2023, cuando de repente comenzó a filtrar datos de muchas víctimas.
Los grupos de ransomware, que se describen a sí mismos como simples "pentesters", muestran que posiblemente se trata de una nueva marca de otra operación o que están compuestos por piratas informáticos experimentados.
VMware informó que el grupo comparte muchas similitudes con RansomHouse, incluido el estilo de las notas de rescate y el sitio de filtración de datos, pero no se ha confirmado que sean el mismo grupo.
Al igual que otras operaciones de ransomware, 8Base violaría las redes corporativas y se propagaría lateralmente de forma silenciosa a través de los dispositivos mientras robaba datos corporativos. Cuando obtenían acceso al controlador de dominio, los actores de la amenaza cifraban los dispositivos utilizando el cifrador de ransomware Phobos.
Al cifrar archivos, el ransomware agrega la extensión .8base o .eight a los archivos cifrados.
Durante este proceso, se crean notas de rescate que exigen el pago de un rescate que oscila entre cientos de miles de dólares y millones a cambio de una clave de descifrado y la promesa de eliminar y no publicar los datos robados.
En 2023, el Departamento de Salud y Servicios Humanos de los Estados Unidos advirtió que los operadores de 8Base estaban apuntando a organizaciones de todo el mundo, incluidas las del sector de la salud.
"Según los ataques del grupo, 8Base se dirige principalmente a empresas PYME con sede en Estados Unidos, Brasil y el Reino Unido. Otros países afectados incluyen Australia, Alemania, Canadá y China, entre otros. Cabe destacar que no se ha apuntado a ningún país exsoviético o de la CEI", explica el boletín del HHS.
"Si bien no existe una correlación conocida con Rusia u otros grupos o afiliados de RaaS de habla rusa, este patrón de exclusión geográfica es un sello distintivo de muchos actores de amenazas de habla rusa".
Algunas víctimas de alto perfil de la banda de ransomware incluyen a Nidec Corporation, un gigante tecnológico japonés con unos ingresos de 11 mil millones de dólares, y el Programa de las Naciones Unidas para el Desarrollo (PNUD).
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/legal/police-arrests-4-phobos-ransomware-suspects-seizes-8base-sites/