Im Zuge der Operation Phobos Aetor wurden mutmaßliche Mitglieder der 8Base-Ransomware-Group in Thailand festgenommen.
Eine internationale Strafverfolgungsaktion hat letzte Woche zur Festnahme von vier in Thailand lebenden europäischen Verdächtigen geführt. Diese Personen, allesamt russische Staatsbürger, gelten als Köpfe der 8Base-Ransomware-Group. Die Beschuldigten stehen im Verdacht, mit der Phobos-Ransomware weltweit mehr als 1.000 Opfer erpresst und 16 Millionen US-Dollar in Bitcoin erbeutet zu haben. Gleichzeitig haben die Behörden im Zuge der Operation Phobos Aetor 27 mit dem kriminellen Netzwerk verbundene Server abgeschaltet.
Die Operation Phobos Aetor beinhaltete Razzien an vier Standorten bei denen Beamte über 40 Beweisstücke sichergestellten, darunter Smartphones, Kryptowährungs-Wallets und Laptops. Zwei Männer und zwei Frauen hat die Polizei an Orten rund um Phuket festgenommen. Aktuell warten sie auf Ersuchen der US-amerikanischen und schweizerischen Behörden auf eine mögliche Auslieferung.
Auch die Darknet-Seiten der 8Base-Ransomware-Group hat man im Zuge der Aktion geschlossen. Darauf veröffentlichte die Group Lösegeldforderungen und gestohlene Daten. Nun sehen Besucher darauf ein Beschlagnahme-Banner mit der Message:
„Diese Darknet-Seite und die strafbaren Inhalte wurden durch das Bayerische Landeskriminalamt im Auftrag der Generalstaatsanwaltschaft Bamberg sichergestellt.“
Operation Phobos Aetor: Zusammenarbeit internationaler Behörden zogen Verhaftungen nach sich
An der Operation Phobos Aetor beteiligten sich Strafverfolgungsbehörden aus 14 Ländern wie Thailand, Rumänien, Deutschland, die Schweiz, USA und weitere. Europol und Eurojust unterstützten dabei die Aktion.
Phobos-Ransomware wurde erstmals im Dezember 2018 entdeckt. Das Cybercrime-Tool setzten Akteure häufig bei groß angelegten Angriffen auf kleine und mittlere Unternehmen ein, denen es „häufig an den nötigen Cybersicherheitsvorkehrungen mangelte, um sich zu schützen“.
8Base-Ransomware-Group: Taktiken und Opfer
Das Ransomware-as-a-Service-Modell (RaaS) ermöglichte die Verwendung der Phobos-Ransomware auch kriminellen Gruppen. Wie Europol berichtete, nutzte auch 8Base die Infrastruktur von Phobos. Die Group entwickelte dabei eine eigene Variante der Ransomware. Bei ihrer doppelten Erpressungstaktik gingen sie besonders aggressiv vor.
Zum einen verschlüsselten sie die Daten der Opfer. Zum anderen drohten sie zudem mit der Veröffentlichung der gestohlenen Informationen, wenn kein Lösegeld gezahlt würde. Selbst bezeichneten sie sich jedoch lediglich als „Pentester“. Gemäß Medienberichten ist die 8Base-Ransomware-Group seit 2022 aktiv.
Quelle: Thailändisches News-Portal Khaosod.
Zwischen dem 30. April 2023 und dem 26. Oktober 2024 sollen sie Angriffe auf mindestens 17 Schweizer Firmen durchgeführt haben. Laut Europol haben die Strafverfolgungsbehörden aufgrund ihrer Ermittlungen zudem mehr als 400 Unternehmen weltweit vor laufenden oder drohenden 8Base-Ransomware-Angriffen gewarnt.
Den aktuellen Verhaftungen gingen bereits Festnahmen voraus
Gemäß Europol erfolgten die jüngsten Verhaftungen der Mitglieder der 8Base-Ransomware-Group im Rahmen der Operation Operation Phobos Aetor im Anschluss an eine Reihe vorangegangener Festnahmen im Zusammenhang mit der Phobos-Ransomware:
Ein wichtiger Phobos-Partner wurde 2023 in Italien aufgru nd eines französischen Haftbefehls festgenommen, was das Netzwerk hinter dieser Ransomware-Variante weiter schwächte.
Ein Administrator von Phobos wurde im Juni 2024 in Südkorea festgenommen und im November desselben Jahres an die USA ausgeliefert. Ihm droht nun eine Strafverfolgung wegen der Orchestrierung von Ransomware-Angriffen, die kritische Infrastrukturen, Geschäftssysteme und persönliche Daten verschlüsselten, um Lösegeld zu erpressen.
