Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha annunciato lunedì che Evgenii Ptitsyn, un cittadino russo di 42 anni, è stato estradato dalla Corea del Sud negli Stati Uniti per affrontare accuse legate al ransomware Phobos.
I pubblici ministeri sostengono che Ptitsyn abbia orchestrato l'operazione, la vendita e la distribuzione del malware, che ha estorto oltre 16 milioni di dollari in pagamenti da più di 1.000 vittime in tutto il mondo, comprese scuole, strutture sanitarie e agenzie governative. Le autorità hanno notato:
Ogni distribuzione del ransomware Phobos è stata assegnata a una stringa alfanumerica unica al fine di abbinarla alla corrispondente chiave di decrittazione, e ogni affiliato è stato diretto a pagare la commissione per la chiave di decrittazione a un wallet di criptovaluta unico per quell'affiliato.
Tra dicembre 2021 e aprile 2024, queste commissioni sono state presumibilmente trasferite in un wallet sotto il controllo di Ptitsyn.
Il ransomware Phobos, attivo dal 2019, opera secondo un modello di ransomware-as-a-service (RaaS), consentendo agli affiliati di eseguire attacchi in vari settori, tra cui sanità e infrastrutture critiche. Il ransomware di solito ottiene l'accesso iniziale tramite email di phishing con allegati dannosi o sfruttando porte Remote Desktop Protocol (RDP) non sicure tramite attacchi brute-force. Una volta all'interno di una rete, Phobos cripta i file e richiede pagamenti di riscatto, spesso per un ammontare di diversi milioni di dollari. È importante notare che Phobos è stato collegato a varianti come Elking, Eight, Devos, Backmydata e Faust, condividendo TTP simili.
Secondo il DOJ: “Ptitsyn è accusato in un atto d'accusa di 13 capi di imputazione di complotto per frode telematica, frode telematica, complotto per commettere frode informatica e abuso, quattro capi di imputazione per aver causato danni intenzionali a computer protetti, e quattro capi di estorsione in relazione all'hacking.” Il Dipartimento di Giustizia ha aggiunto:
Se condannato, Ptitsyn affronta una pena massima di 20 anni di carcere per ogni capo di frode telematica; 10 anni di carcere per ogni capo di hacking informatico; e cinque anni di carcere per il complotto per commettere frode informatica e abuso.