Le ministère de la Justice des États-Unis (DOJ) a annoncé lundi qu'Evgenii Ptitsyn, un ressortissant russe de 42 ans, a été extradé de Corée du Sud vers les États-Unis pour faire face à des accusations liées au ransomware Phobos.
Les procureurs allèguent que Ptitsyn a orchestré l'opération, la vente et la distribution du logiciel malveillant, qui a extorqué plus de 16 millions de dollars en paiements de plus de 1 000 victimes dans le monde, y compris des écoles, des établissements de santé et des agences gouvernementales. Les autorités ont noté :
Chaque déploiement de ransomware Phobos a été attribué à une chaîne alphanumérique unique afin de le relier à la clé de décryptage correspondante, et chaque affilié a été dirigé à payer les frais de clé de décryptage à un portefeuille de cryptomonnaie unique à cet affilié.
Entre décembre 2021 et avril 2024, ces frais auraient été détournés vers un portefeuille sous le contrôle de Ptitsyn.
Le ransomware Phobos, actif depuis 2019, fonctionne selon un modèle de ransomware-en-tant-que-service (RaaS), permettant aux affiliés d'exécuter des attaques dans divers secteurs, y compris la santé et les infrastructures critiques. Le ransomware accède généralement pour la première fois par le biais d'emails de phishing avec des pièces jointes malveillantes ou en exploitant des ports de protocole de bureau à distance (RDP) non sécurisés via des attaques par force brute. Une fois à l'intérieur d'un réseau, Phobos crypte des fichiers et exige des paiements de rançon, souvent s'élevant à plusieurs millions de dollars. Notamment, Phobos a été lié à des variantes telles que Elking, Eight, Devos, Backmydata et Faust, partageant des TTPs similaires.
Selon le DOJ : « Ptitsyn est accusé dans un acte d'accusation de 13 chefs d'accusation de conspiration à fraude par câble, fraude par câble, conspiration pour commettre une fraude et un abus informatique, quatre chefs d'accusation de dommages intentionnels à des ordinateurs protégés, et quatre chefs d'accusation d'extorsion en lien avec le piratage. » Le ministère de la Justice a ajouté :
S'il est reconnu coupable, Ptitsyn risque une peine maximale de 20 ans de prison pour chaque chef d'accusation de fraude par câble ; 10 ans de prison pour chaque chef d'accusation de piratage informatique ; et cinq ans de prison pour conspiration à commettre une fraude et un abus informatique.