La justice américaine a annoncé, lundi 18 novembre, des poursuites contre Evgenii Ptitsyn, un ressortissant russe. Il est soupçonné d’être un opérateur, c’est-à-dire un cerveau, du rançongiciel Phobos, un outil destiné à paralyser les ordinateurs et les réseaux informatiques.
L’homme de 42 ans est accusé d’avoir conçu et vendu ce logiciel accessible sur un site vitrine du darknet. Utilisant les pseudonymes « derxan » et « zimmermanx », il a distribué le ransomware à des soi-disant « affiliés », des hackers spécialisés dans les intrusions et qui menaient des attaques contre des entreprises et des particuliers.
Pour ses complices, la procédure était assez simple : ils ont d’abord réalisé eux-mêmes l’attaque et récupéré la rançon directement auprès de la victime, puis ils ont versé une part aux opérateurs de Phobos, qui ont ensuite communiqué la clé de décryptage à envoyer à la victime pour que ils peuvent retrouver l’accès à leurs fichiers. Selon les autorités américaines, le portefeuille (portefeuille) de crypto-monnaies utilisées par Phobos pour récupérer sa part auprès de ses affiliés puis envoyé de l’argent vers un autre portefeuille, contrôlé par Evgenii Ptitsyn. Accusé, entre autres, d’extorsion, il risque plusieurs décennies de prison.
Plus d’un millier de victimes
Alors que certains gangs de ransomwares, s’entourant d’équipes plus petites, ont tendance à cibler de très grandes entreprises ou communautés pour exiger des rançons incroyables, Phobos est passé inaperçu, avec des cibles plus petites. Les victimes sont souvent de petites entités, à qui les pirates ont exigé des rançons bien inférieures à celles habituellement observées. Les autorités américaines ont dénombré plus d’un millier de victimes dans le monde, pour un gain total d’environ 16 millions de dollars de rançons. En France, où une enquête est menée depuis 2019 par la brigade anti-cybercriminalité (BL2C) de la préfecture de police sur l’usage de ce rançongiciel, il y a eu environ 200 victimes il y a un an.
Au cours de l’été 2023, à la demande de la France, les autorités italiennes ont arrêté quelques citoyens russes soupçonnés d’être des affiliés de Phobos. Mis en examen en octobre de la même année des chefs d’accès, de maintien frauduleux, d’entrave et de modification frauduleuse à un système de traitement automatisé de données, d’extorsion en bande organisée, de blanchiment aggravé en bande organisée et d’association de malfaiteurs, ils sont toujours en détention provisoire. détention.
Soupçonné d’être lié à un précédent ransomware baptisé Dharma, Phobos a donné naissance ces dernières années à de nombreuses variantes, comme Backmydata et 8base. Lundi, le chercheur Alexander Leslie, spécialiste de la société de sécurité informatique Recorded Future, a constaté qu’au cours du dernier trimestre, les détections de Phobos et de ses variantes avaient chuté. « de manière significative » pendant “dernier trimestre”ce qui suggère que l’arrestation d’Evgenii Ptitsyn pourrait être l’une des explications.
