Cybercrime. Duro colpo alle organizzazioni dietro i ransomware Phobos e 8Base
Rilevato per la prima volta a dicembre 2018, il ransomware Phobos è stato uno strumento di criminalità informatica utilizzato in attacchi su larga scala contro aziende e organizzazioni in tutto il mondo.
A differenza dei gruppi ransomware di alto profilo che si rivolgono alle grandi società, Phobos si affidava ad attacchi ad alto volume contro le piccole e medie imprese, spesso mancanti delle difese adeguate di sicurezza informatica per proteggersi.
Il suo modello Ransomware-as-a-Service (RaaS) lo ha reso particolarmente accessibile a una serie di attori criminali, dai singoli affiliati a gruppi criminali strutturati come 8Base. L’adattabilità di questo framework ha permesso agli aggressori di personalizzare le loro campagne ransomware con una competenza tecnica minima, alimentando ulteriormente il suo uso diffuso.
Sfruttando l’infrastruttura di Phobos, 8Base ha infatti sviluppato la propria variante del ransomware, utilizzando i suoi meccanismi di crittografia e consegna per personalizzare gli attacchi al massimo impatto. Questo gruppo è stato particolarmente aggressivo nelle sue tattiche di doppia estorsione, non solo crittografando i dati delle vittime, ma anche minacciando di pubblicare informazioni rubate a meno del pagamento di un riscatto.
Una consociata chiave di Phobos è stata arrestata in Italia nel 2023 con un mandato di arresto francese, indebolendo ulteriormente la rete dietro questo ceppo di ransomware, mentre un amministratore di Phobos è stato arrestato in Corea del Sud nel giugno 2024 ed estradato negli Stati Uniti nel novembre dello stesso anno. Ora sta affrontando un procedimento giudiziario per aver orchestrato attacchi ransomware che hanno crittografato infrastrutture critiche, sistemi aziendali e dati personali per il riscatto.
La risposta di Eurojust, Europol e 14 Paesi
A seguito della operazione attuata ultimamente, le forze dell’ordine sono state in grado di avvertire oltre 400 aziende in tutto il mondo di attacchi ransomware in corso o imminenti.
Questa complessa operazione internazionale, sostenuta da Europol ed Eurojust, ha coinvolto forze dell’ordine di 14 paesi (vedi nota sottostante). Mentre alcuni paesi si sono concentrati sull’indagine su Phobos, altri hanno preso di mira 8Base, con diversi partecipanti in entrambi.
Europol ha svolto un ruolo fondamentale nel riunire l’intelligence da queste indagini separate, consentendo alle autorità di eliminare gli attori chiave da entrambe le reti di ransomware in uno sforzo coordinato.
Europol ha svolto un ruolo centrale nel collegare gli investigatori e nel coordinare le azioni di contrasto. A sostegno dell’indagine da febbraio 2019, il Centro europeo per la criminalità informatica (EC3) di Europol ha:
- Riunito l’intelligence da indagini parallele, garantendo che le autorità di contrasto che prendono di mira Phobos e 8Base possano mettere in comune i loro risultati e coordinare gli arresti in modo efficiente.
- Organizzato 37 incontri operativi per sviluppare le principali iniziative investigative.
- Fornito esperienza analitica, cripto-tracing e forense per supportare il caso.
- Facilitato lo scambio di informazioni nell’ambito della Joint Cybercrime Action Taskforce (J-CAT), ospitato presso la sua sede.
- Scambiato quasi 600 messaggi operativi tramite la rete SIENA sicura di Europol.
Eurojust ha organizzato due riunioni di coordinamento dedicate per assistere la cooperazione giudiziaria transfrontaliera e ha fornito sostegno alle richieste in sospeso di tutte le autorità coinvolte.
Le Forze di Polizia partecipanti:
Belgio: polizia federale (Federale Politie / Police Fédérale)
Repubblica Ceca: Polizia della Repubblica Ceca (Policie České republiky)
Francia: Paris Cybercrime Unit (Brigade de lutte contre la cybercriminalité de Paris – BL2C), Court of Paris – Giurisdizione nazionale contro il crimine organizzato (Juridiction Nationale de Lutte contre la Criminalité Organisée – JUNALCO)
Germania: Ufficio di polizia criminale statale bavarese (Bayerisches Landeskriminalamt – LKA Bayern), Ufficio centrale bavarese per il perseguimento del crimine informatico (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern)
Giappone: National Police Agency (阿 愛 厂)
Polonia: Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości)
Romania: polizia rumena (Poliția Română)
Singapore: Comando CyberCrime della polizia di Singapore
Spagna: Guardia Civil
Svezia: Autorità di polizia svedese (Polisen)
Svizzera: ufficio del procuratore generale della Svizzera (OAG), polizia federale (fedpol)
Tailandia: Cyber Crime Investigation Bureau (CCIB)
Regno Unito: National Crime Agency (NCA)
Stati Uniti: Dipartimento di Giustizia degli Stati Uniti (US DOJ), Federal Bureau of Investigation (FBI – Baltimore Field Office), Dipartimento della Difesa degli Stati Uniti Cyber Crime Center (DC3)