Nach Darstellung der US-Staatsanwaltschaft war Evgenii Ptitsyn nicht nur Entwickler der Phobos-Ransomware, sondern auch für deren Vermarktung und Vertrieb zuständig. Er bewarb die Schadsoftware in Cyberkriminellen-Foren und betrieb die Darknet-Website der Gruppe, über die bei Opfern erbeutete Daten verkauft wurden. Affiliates, die die Ransomware für Angriffe nutzten, führten ihm einen Anteil der eingenommenen Lösegelder ab.

Zu den Ptitsyn zugeschriebenen Angriffen zählen die Ermittler einen Vorfall beim öffentlichen Schulsystem in Kalifornien, das 2023 ein Lösegeld von 300.000 US-Dollar zahlte, sowie Angriffe auf mehrere Gesundheitseinrichtungen und weitere Unternehmen.

Nach früheren Angaben der US-Staatsanwaltschaft sammelten die Betreiber von Phobos und einer verwandten Variante namens 8Base seit 2019 weltweit mehr als 16 Millionen US-Dollar von ihren Opfern ein.

Gegen die Gruppe gehen Strafverfolgungsbehörden in den USA und Europa seit rund zwei Jahren vor und haben mehrere mutmaßliche Mitglieder festgenommen und angeklagt. Darunter ist ein 47-Jähriger, der vor wenigen Wochen in Polen festgesetzt wurde. Weitere Mitglieder wurden im vergangenen Jahr in Thailand festgenommen und abgeschoben.

Im vergangenen Juli veröffentlichten japanische Behörden ein kostenloses Entschlüsselungswerkzeug für die Phobos-Ransomware sowie eine englischsprachige Anleitung für Organisationen, die von den Angriffen der Gruppe betroffen sind.