In einer internationalen Polizeioperation mit dem Codenamen „Phobos Aetor“ ist den Strafverfolgungsbehörden ein signifikanter Erfolg gegen organisierte Cyberkriminalität gelungen. Die Operation führte zur Verhaftung von zwei russischen Staatsbürgern in Thailand, die mit den Ransomware-Gruppen Phobos und 8Base in Verbindung gebracht werden.
Internationale Zusammenarbeit führt zu durchschlagendem Erfolg
Die koordinierte Aktion, an der Strafverfolgungsbehörden aus 14 Nationen beteiligt waren, demonstriert die Effektivität länderübergreifender Zusammenarbeit im Kampf gegen Cyberkriminalität. Unter Führung von FBI, Europol und der britischen National Crime Agency (NCA) gelang die Festnahme von vier Verdächtigen auf Phuket sowie die Beschlagnahmung kritischer IT-Infrastruktur.
Umfang der kriminellen Aktivitäten
Die Ermittlungen ergaben, dass die Beschuldigten Roman Berezhnoy (33) und Egor Glebov (39) für mehr als 1.000 Ransomware-Angriffe zwischen Mai 2019 und Oktober 2024 verantwortlich waren. Die 8Base-Gruppe erpresste dabei Lösegelder in Höhe von über 16 Millionen US-Dollar.
Technische Analyse der Malware-Infrastruktur
Forensische Untersuchungen zeigten, dass die 8Base-Malware auf einer modifizierten Version von Phobos 2.9.1 basierte und über den SmokeLoader-Trojaner verbreitet wurde. VMware-Sicherheitsexperten identifizierten technische Parallelen zur Dharma-Ransomware sowie potenzielle Verbindungen zur RansomHouse-Gruppierung.
Nachhaltige Auswirkungen der Operation
Die Sicherstellung von 27 Command-and-Control-Servern durch Europol führte zur vollständigen Zerschlagung des 8Base-Netzwerks. Ein weiterer wichtiger Erfolg war die Verhaftung eines hochrangigen Phobos-Operators in Italien im Jahr 2023, wodurch über 400 geplante Cyberangriffe verhindert werden konnten.
Betroffen: Ransomware-Gruppen LockBit, 8Base und Phobos-Affiliates
Die Phobos-Ransomware-Familie richtete sich vorrangig gegen kleine und mittelständische Unternehmen (KMU), Krankenhäuser, Kommunalbehörden und Bildungseinrichtungen — Organisationen, die oft über begrenzte IT-Sicherheitsressourcen verfügen. Besonders gefährdet waren Unternehmen mit ungesicherten RDP-Zugängen (Remote Desktop Protocol) und veralteten Backup-Strategien. Opfer aus über 70 Ländern wurden in den Ermittlungsakten dokumentiert.
Schutzmaßnahmen gegen Phobos- und ähnliche Ransomware
- Deaktivieren Sie öffentlich zugängliche RDP-Zugänge oder sichern Sie diese durch ein VPN und Multi-Faktor-Authentifizierung (MFA) — Phobos verbreitete sich primär über ungesicherte RDP-Ports.
- Implementieren Sie eine 3-2-1-Backup-Strategie: drei Kopien, zwei verschiedene Medientypen, eine Kopie offline oder air-gapped.
- Aktualisieren Sie regelmäßig alle Betriebssysteme und Anwendungen, um bekannte Schwachstellen zu schließen, die als Einfallstor für SmokeLoader genutzt wurden.
- Segmentieren Sie Ihr Netzwerk, um die laterale Ausbreitung von Ransomware nach einer initialen Kompromittierung einzuschränken.
- Installieren Sie EDR-Lösungen (Endpoint Detection and Response), die Verschlüsselungsaktivitäten in Echtzeit erkennen und blockieren können.
