В рамках международной операции Phobos Aetor правоохранительные органы 14 стран арестовали четырёх фигурантов, ликвидировали инфраструктуру группировки 8Base и предъявили обвинения двум гражданам России. Министерство юстиции США подтвердило, что подозреваемые были задержаны на Пхукете — подробности операции также опубликовал BleepingComputer.
Детали операции и международное сотрудничество
В операции приняли участие правоохранительные органы 14 стран, включая ФБР, Европол, NCA Великобритании и специальные подразделения из европейских государств. Координированные действия привели к аресту четырех подозреваемых на Пхукете и изъятию ключевой технической инфраструктуры.
Масштаб преступной деятельности
По данным следствия, Роман Бережной (33 года) и Егор Глебов (39 лет) причастны к более чем 1000 вымогательским атакам в период с мая 2019 по октябрь 2024 года. Группировка 8Base, связанная с их деятельностью, получила выкупы на сумму свыше 16 миллионов долларов США.
Технические аспекты и связь с другими группировками
Специалисты по кибербезопасности установили, что вредоносное ПО 8Base представляло собой модифицированную версию Phobos 2.9.1, распространяемую через SmokeLoader. Эксперты VMware отмечают техническое сходство с другим известным вымогателем — Dharma, а также возможную связь с группировкой RansomHouse.
Результаты операции
Европол сообщил о захвате 27 серверов группировки 8Base, что привело к полному прекращению её деятельности. Благодаря аресту ключевого партнера Phobos в Италии в 2023 году, правоохранителям удалось предотвратить более 400 готовящихся атак и защитить сотни потенциальных целей.
Кого атаковали Phobos и 8Base — и что делать жертвам
Группировки атаковали преимущественно организации государственного и коммерческого секторов, школы, больницы и малый бизнес — структуры без выделенных команд ИБ. Если ваша организация получила уведомление от правоохранителей о потенциальной атаке или вы подозреваете, что стали жертвой Phobos/8Base:
- Сообщите в ФБР через IC3.gov — правоохранители предупредили более 400 потенциальных жертв в ходе операции
- Проверьте систему на наличие маркеров SmokeLoader — загрузчик, через который распространялся Phobos
- Ключи дешифровки могут быть недоступны: 8Base использовал Phobos 2.9.1 с надёжным шифрованием, поэтому проверьте наличие утилит на No More Ransom
