Disponibilizado desencriptador para vítimas do ransomware Phobos e 8Base

As vítimas do ransomware Phobos e da sua variante 8Base têm agora acesso a um desencriptador gratuito, disponibilizado pela Agência Nacional de Polícia do Japão. A ferramenta, acompanhada de um guia em inglês, foi partilhada a nível global pelo FBI e pelo Centro Europeu de Cibercrime (EC3) da Europol.

O grupo Phobos é conhecido por atacar pequenas e médias empresas, bem como entidades de infraestruturas críticas, como governos locais, escolas e hospitais. Desde 2019, os operadores do Phobos terão extorquido mais de 16 milhões de dólares a cerca de mil vítimas em todo o mundo.

O lançamento da ferramenta de desencriptação é o culminar de uma longa investigação internacional que já levou a várias detenções e ao desmantelamento de parte da infraestrutura do grupo.

As autoridades norte-americanas, lideradas pelo FBI, desempenharam um papel crucial na operação. Em fevereiro de 2024, alertaram que os ataques do Phobos estavam a ter um impacto significativo em serviços de emergência, educação e saúde nos EUA. As investigações levaram à detenção e extradição do cidadão russo Evgenii Ptitsyn, um alegado administrador do Phobos, em novembro de 2023. Outro agente foi detido em Itália no mesmo ano, e em 2024, quatro suspeitos foram presos na Tailândia.

A operação global resultou ainda no desmantelamento de mais de cem servidores utilizados pelo grupo e no alerta a mais de 400 empresas em todo o mundo sobre ataques iminentes.

O Phobos operava num modelo de Ransomware-as-a-Service (RaaS), distribuindo o seu código malicioso a afiliados na dark web. Quando um ataque era bem-sucedido, os afiliados pagavam cerca de 300 dólares aos administradores por uma chave de desencriptação, que depois trocavam por resgates que podiam atingir centenas de milhares de dólares.

A sua operação spin-off, denominada 8Base, intensificou as suas atividades em 2023, assumindo a responsabilidade por ataques de alto perfil, como o que visou o Programa das Nações Unidas para o Desenvolvimento (PNUD). “Este grupo tem sido particularmente agressivo nas suas táticas de dupla extorsão, não só encriptando os dados das vítimas, mas também ameaçando publicar informações roubadas”, referiu a Europol.

A acusação contra Ptitsyn revelou que muitas organizações norte-americanas cederam à extorsão: um sistema escolar da Califórnia pagou 300 mil dólares em 2023, e um hospital pediátrico pagou 100 mil no mesmo ano. Outras entidades, como um sistema escolar de Connecticut, recusaram-se a pagar.

A nova ferramenta de desencriptação gratuita oferece agora uma alternativa para as vítimas, permitindo-lhes recuperar os seus ficheiros sem ceder à extorsão dos cibercriminosos.