Funkcjonariusze Centralnego Biura Zwalczania Cyberprzestępczości zatrzymali 47-letniego mężczyznę podejrzanego o wytwarzanie, pozyskiwanie oraz udostępnianie programów komputerowych służących do bezprawnego uzyskiwania informacji przechowywanych w systemie informatycznym. Według ustaleń, miał on kontakty z grupą przestępczą Phobos, znaną z ataków ransomware na całym świecie.
Zatrzymanie miało związek z uczestnictwem CBZC w operacji Aether koordynowanej przez Europol. W czasie trwania operacji organy ścigania odnotowały wymierne sukcesy przeciwko osobom powiązanym z ransomware Phobos – zarówno na poziomie „zaplecza” usługowego (RaaS), jak i operatorów/afiliantów dokonujących włamań i szyfrowania danych. Kluczowe elementy tej akcji to ekstradycja domniemanego administratora Phobosa do USA oraz skoordynowane zatrzymania w Europie i poza nią, połączone z działaniami technicznymi wymierzonymi w infrastrukturę cyberprzestępczą.
W przypadku mężczyzny z Polski policjanci zabezpieczyli na jego komputerze pliki z danymi cyfrowymi takimi jak loginy, hasła, numery kart kredytowych, numery IP serwerów. Te dane mogły być wykorzystane do przeprowadzenia różnych ataków, w tym m. in. ransomware.
Policjanci podczas przeszukania mieszkania zajmowanego przez osobę podejrzaną, ujawnili urządzenia służące do popełnienia przestępstwa w postaci komputera i telefonów komórkowych. Po wykonaniu czynności technicznych okazało się, że znajdują się na nich dane mogące umożliwić przełamanie zabezpieczeń elektronicznych serwerów. Konsekwencją tego było przedstawienie osobie zatrzymanej zarzutów w związku z przestępstwem polegającym na wytwarzaniu, pozyskiwaniu oraz udostępnianiu programów komputerowych służących do bezprawnego uzyskiwania informacji w tym danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym.
Śledztwo nadzorowane jest przez Prokuraturę Okręgową w Gliwicach. Mężczyźnie grozi kara pozbawienia wolności do lat 5.
Grupa o nazwie Phobos to zorganizowana grupa cyberprzestępcza działająca w modelu Ransomware-as-a-Service (RaaS). Oprogramowanie służyło do szyfrowania systemów ofiar, a następnie wymuszania okupu w zamian za odszyfrowanie danych lub nieujawnianie wykradzionych informacji. Model RaaS oznacza, że twórcy oprogramowania udostępniali je afiliantom (partnerom), którzy przeprowadzali ataki i dzielili się zyskami z twórcami złośliwego oprogramowania.
Phobos i jego affiliates (partnerzy) mieli ponad 1 tys. ofiar na świecie – w tym szpitale, szkoły, organizacje non-profit, podmioty publiczne i firmy prywatne.
Wśród ofiar wymienia się (konkretne zgłoszone przypadki):
- publiczne szkoły w USA (np. California, Connecticut),
- placówki ochrony zdrowia (np. dostawcy usług medycznych w Maryland),
- firma kontraktująca z Departamentem Obrony USA.
Według dokumentów Departamentu Sprawiedliwości USA, łączna kwota okupu powiązanego z działalnością Phobos przekroczyła 16 mln dol.. Średnia wartość pojedynczego żądania okupu była relatywnie mniejsza niż w przypadku innych grup ransomware – danymi z niezależnej analizy (ThreatDown) wskazuje się średnią ok. 54 tys. dol. – jednak w praktyce żądania potrafiły się znacznie różnić.
