Ein russischer Cyberkrimineller hat sich der Drahtbetrugsverschwörung im Zusammenhang mit der Verwaltung der Phobos-Ransomware schuldig erkannt. Die RaaS-Operation hat über 1.000 Opfer weltweit getroffen und mehr als 39 Millionen Dollar Lösegeld erpresst.
Ein russischer Staatsbürger hat sich in den USA schuldig bekannt, an einer Drahtbetrugsverschwörung beteiligt gewesen zu sein, die mit der Verwaltung der Phobos-Ransomware-Operation verbunden ist. Diese kriminelle Organisation hat hunderte Opfer auf der ganzen Welt angegriffen.
Phobos ist eine etablierte Ransomware-as-a-Service-Operation (RaaS), die zur Crysis-Ransomware-Familie gehört. Das Schadprogramm wurde von zahlreichen Affiliates verbreitet und machte zwischen Mai und November 2024 etwa 11 Prozent aller Einreichungen beim ID-Ransomware-Service aus.
Nach Angaben des U.S. Department of Justice hat die Ransomware-Bande Lösegeldgelder im Wert von über 39 Millionen Dollar von mehr als 1.000 öffentlichen und privaten Einrichtungen weltweit erpresst.
Der 43-jährige Evgenii Ptitsyn wurde im November 2024 aus Südkorea ausgeliefert und wegen der Überwachung des Verkaufs, der Verbreitung und des täglichen Betriebs der Phobos-Ransomware angeklagt. Laut Gerichtsdokumenten begannen Ptitsyn und seine Mittäter die kriminelle Operation spätestens im November 2020. Sie verkauften Zugang zur Phobos-Ransomware an kriminelle Affiliates über eine Darknet-Website und warben in Cybercrime-Foren unter den Nicknamen “derxan” und “zimmermanx”.
Die Affiliates drangen in Netzwerke von Schulen, Krankenhäusern und Regierungsbehörden ein — häufig mit gestohlenen Zugangsdaten — und verschlüsselten sensible Dateien. Sie drohten Opfern, die nicht zahlten, mit der Veröffentlichung der Daten online. Für jeden Einsatz der Ransomware zahlten Affiliates eine Gebühr an Ptitsyn im Gegenzug für einen Entschlüsselungsschlüssel. Von Dezember 2021 bis April 2024 flossen alle Gebühren in eine von Ptitsyn kontrollierte Kryptowallet.
Der Anklage zufolge zahlten Affiliates etwa 300 Dollar für jeden Entschlüsselungsschlüssel. Jeder Phobos-Einsatz wurde einer eindeutigen alphanumerischen Zeichenkette zugeordnet, um ihn dem entsprechenden Schlüssel zuzuordnen.
Ptitsyn wird am 15. Juli zur Strafverkündung erwartet und könnte nach seinem Schuldbekenntnis bis zu 20 Jahre Freiheitsstrafe erhalten.
Ende Februar 2025 kam es zu einem bedeutenden Schlag gegen Phobos: Die Polizei verhaftete zwei verdächtigte Affiliates und beschlagnahmte 27 Server. Dies war Teil von “Operation Aether”, einer international koordinierten Europol-Initiative gegen die Phobos-Bande. Im Laufe der Operation wurden auf verschiedenen Ebenen der Organisation tätig — von Backend-Betreibern bis zu Ransomware-Affiliates, die in Netzwerk-Eindringlingen und Datenverschlüsselung verwickelt waren. Auch ein weiterer verdächtiger Affiliate wurde 2023 in Italien verhaftet.
Europol gab an, dass Strafverfolgungsbehörden mehr als 400 Unternehmen weltweit vor laufenden oder unmittelbar bevorstehenden Ransomware-Angriffen warnen konnten. “Diesen komplexen internationalen Einsatz, unterstützt durch Europol und Eurojust, führten Strafverfolgungsbehörden aus 14 Ländern durch.”
Während der Kampf gegen Ransomware-Operationen fortgesetzt wird, zeigen neue Analysen, wie ausgefeilte Malware Techniken nutzt, um Schutzmaßnahmen zu umgehen. Kryptowallet-Transaktionen mit illegalem Ursprung erreichten im vergangenen Jahr ein Rekordhoch von 158 Milliarden Dollar.
Quelle: BleepingComputer