Uhapšena četiri člana ransomware bande 8Base (Phobos)

Sajber hronika, 11.02.2025, 12:00 PM

Četiri osobe za koje se sumnja da su članovi ransomware grupe 8Base (Phobos) uhapšene su na Tajlandu, u sklopu operacije pod nazivom „Phobos Aetor“ koju je predvodila nemačka policija u saradnji sa tajlandskom policijom, Europolom, SAD, Švajcarskom, Francuskom, Rumunijom, Japanom, Češkom, Velikom Britanijom i drugim partnerima. Policija je zaplenila servere grupe 8Base koja je aktivna od 2022. godine.

U Puketu, na Tajlandu, policija je uhapsila četiri navodna člana grupe koji su osumnjičeni za napade na stotine kompanija i krađu 16 miliona dolara od 1000 žrtava napada.

Osumnjičeni hakeri - dva muškarca i dve žene, svi Evropljani - „zahtevali su plaćanje kriptovalutama za ključeve za dešifrovanje, preteći da će objaviti ukradene podatke ako otkupnine ne budu plaćene. Takođe su koristili usluge miksera kriptovaluta kako bi prikrili tragove transakcija“.

Tajlandska policija je izvršila pretrese na četiri različite lokacije, na osnovu naloga vlade SAD i Interpola. Tokom pretresa, policija je zaplenila više od 40 dokaza za forenzčku analizu, „uključujući laptop računare, pametne telefone i digitalne novčanike“.

Očekuje se da će osumnjičeni biti izručeni Švajcarskoj na osnovu čijeg zahteva su tajlandske vlasti i uhapsile hakere koje su švajcarske vlasti optužile za napade na 17 švajcarskih kompanija koji su se dogodili u periodu od aprila 2023. do oktobra 2024.

Grupa 8Base se pojavila u martu 2022. godine ali je do juna 2023. bila relativno neprimetna, da bi te iste godine bila označena kao druga najaktivnija ransomware banda, odmah posle zloglasne grupe LockBit. Grupa je bila prepoznatljiva po dvostrukoj iznudi i doslednom korišćenju ransomwarea Phobios. Tokom napada, hakeri bi najpre ukrali podatke i tek onda ih šifrovali, da bi kasnije mogli da ucenjuju žrtve preteći im objavljivanjem ukradenih podataka. Šifrovanim fajlovima dodavana je ekstenzija „8base“ ili „eight“. Grupa je uglavnom napadala manja preduzeća iz tehnološkog, proizvodnog, poljoprivrednog, transportnog i finansijskog sektora tražeći otkupnine u rasponu od nekoliko stotina hiljada do nekoliko miliona dolara, a poslednji uspešan pokušaj napada ove grupe samoproglašenih „poštenih i običnih pentestera” zabeležen je januara ove godine, kada je grupa objavila imena nekoliko žrtava na svom još uvek aktivnom Telegram kanalu koji je pokrenut 13. maja 2023. godine.

Aktivnosti 8Base i sofisticiranost njihovih napada ukazuju da bi 8Base mogla biti rebrendirana operacija ili da je reč o iskusnim hakerima. Grupa je povezivana sa RansomHouse zbog brojnih sličnosti, uključujući i stil poruke o otkupu i sajt grupe za objavljanje podataka ukradenih od žrtava.

8Base je imala veoma specifična pravila poslovanja, koja striktno zabranjuju uključivanje treće strane u proces pregovora, verovatno zbog uverenja hakera da su „profesionalni pregovarači“ često uspešni u smanjenju zahteva za otkupnine, što je grupa 8Base očigledno želela da izbegne.

Foto: Gerd Altmann | Pixabay