Laut Gerichtsdokumenten betrieben Ptitsyn und seine Komplizen die Cybercrime-Operation spätestens seit November 2020. Sie verkauften den Zugang zur Phobos-Ransomware über eine Darknet-Website an kriminelle Partner und warben in einschlägigen Foren unter den Pseudonymen “derxan” und “zimmermanx”.

Die Partner drangen in die Netzwerke ihrer Ziele ein – darunter Schulen, Krankenhäuser und Behörden – häufig mit gestohlenen Zugangsdaten. Sie exfiltrierten Dateien und verschlüsselten sensible Daten, bevor sie Zahlungen forderten. Opfer, die das Lösegeld verweigerten, bedrohten sie per E-Mail und Telefon damit, die gestohlenen Daten online zu veröffentlichen und an deren Kunden zu schicken.

Für jede Bereitstellung zahlten die Partner eine Gebühr an Ptitsyn und erhielten im Gegenzug einen Entschlüsselungsschlüssel; zusätzlich behielt Ptitsyn einen Anteil an den Lösegeldzahlungen ein. Von Dezember 2021 bis April 2024 flossen sämtliche Gebühren für Entschlüsselungsschlüssel von den Krypto-Wallets der Partner in eine einzige, von Ptitsyn kontrollierte Administrator-Wallet.

“Nach einem erfolgreichen Phobos-Ransomware-Angriff zahlten die Partner etwa 300 US-Dollar an die Phobos-Administratoren, um einen Entschlüsselungsschlüssel zu erhalten und wieder Zugriff auf die verschlüsselten Dateien zu bekommen”, heißt es in der Anklageschrift. Jede Bereitstellung der Ransomware sei einer eindeutigen alphanumerischen Zeichenfolge zugeordnet worden, um sie dem passenden Schlüssel zuzuordnen; jeder Partner sei angewiesen worden, die Gebühr an eine ihm eigens zugewiesene Krypto-Wallet zu überweisen.

Bereits in diesem Jahr nahm die polnische Polizei einen 47-jährigen Mann fest, der in Verbindung zu Phobos stehen soll. Beschlagnahmt wurden Computer und Mobiltelefone mit gestohlenen Zugangsdaten, Kreditkartennummern und Server-Zugangsdaten. Die Festnahme war Teil der “Operation Aether”, einer von Europol koordinierten internationalen Aktion gegen die Phobos-Gruppe.

Die Operation Aether richtete sich über die Jahre gegen Phobos-nahe Personen auf mehreren Ebenen, darunter Betreiber der Backend-Infrastruktur sowie Partner, die an Netzwerkeinbrüchen und Datenverschlüsselung beteiligt waren. Zu den weiteren Ergebnissen zählt eine umfangreiche Zerschlagung im Februar 2025, bei der zwei mutmaßliche Partner festgenommen und 27 Server beschlagnahmt wurden, sowie die Festnahme eines weiteren Partners in Italien im Jahr 2023.

“Im Zuge dieser Operation konnten die Strafverfolgungsbehörden zudem mehr als 400 Unternehmen weltweit vor laufenden oder unmittelbar bevorstehenden Ransomware-Angriffen warnen”, erklärte Europol im Februar 2025. An dem von Europol und Eurojust unterstützten Einsatz seien Behörden aus 14 Ländern beteiligt gewesen.