Le site du ransomware 8Base saisi
Une opération judiciaire internationale conduit à la saisie du site vitrine du ransomware 8Base. Quatre personnes sont arrêtées à Phuket, en Thaïlande dans le cadre de l’opération « Phobos Aetor » le 10 février 2025. Cette opération policière vise les cybercriminels derrière le ransomware Phobos. Le quatuor est accusé d’avoir mené des cyberattaques envers plus d’un millier d’entités. Ils auraient ainsi extorqué plus de 16 millions de dollars en bitcoin. La même intervention se saisit du site vitrine du ransomware 8base sur le darkweb.
La première capture de l’opération est le créateur et administrateur de Phobos. Il est extradé le 4 novembre 2024 de Corée du Sud vers les États-Unis. Le 18 novembre, le ministère de la Justice américain révèle son identité : Evgenii Ptitsyn, 42 ans de nationalité russe.
Quatre arrestations à Phuket
Le ransomware Phobos, par l’intermédiaire de ses filiales, a fait plus de 1 000 victimes. Elles sont des institutions publiques et privées aux États-Unis, comme partout dans le monde. L’extorsion à travers les rançons payées en cryptomonnaie est de plus de 16 millions de dollars.
Le ransomware 8base connu depuis le printemps 2022 revendique 455 victimes. Les dernières connues sont l’établissement St Nicholas au Brésil, la commune belge Héron, mais aussi le cabinet Jean Louvel Saoudi et l’entreprise FIO, ces deux derniers sur l’hexagone.
L’opération judiciaire internationale se saisit du site vitrine du rançongiciel 8Base. La brigade de lutte contre la cybercriminalité de la préfecture de Paris est l’une des forces à y avoir participé.
L’arrestation et l’extradition du fondateur en novembre 2024 ont sans doute permis de découvrir des liens. Ces liens sont avec toute vraisemblance, à l’origine du démantèlement du ransomware et de l’arrestation des quatre personnes présumées. Leurs identités sont logiquement encore inconnues, car l’enquête se poursuit.
(Crédits : DR)
La police thaïlandaise a saisi plusieurs téléphones mobiles, ordinateurs portables et portefeuilles numériques, soit un total de quarante pièces à conviction. Les suspects sont accusés de complot en vue de commettre une infraction contre les États-Unis et de complot en vue de commettre une fraude électronique. Ces arrestations font suite à une demande de la part des autorités suisses et des États-Unis, impliquant des mandats d’Interpol pour les suspects européens qui étaient entrés en Thaïlande dans le cadre d’une organisation criminelle transnationale.
Site vitrine du ransomware 8Base saisi
L’opération internationale visant le gang du ransomware Phobos, conduit à l’arrestation de quatre personnes à Phuket, en Thaïlande : deux femmes, deux hommes. Un coup supplémentaire est porté avec la saisie des sites de 8Base sur le dark web. Les suspects sont accusés d’avoir mené des cyberattaques contre plus de 1 000 victimes dans le monde.
Les personnes arrêtées sont Européennes. Ils auraient extorqué à leurs victimes 16 millions de dollars en bitcoins. L’opération de police, dont le nom de code est « Phobos Aetor », a donné lieu à des descentes coordonnées sur quatre sites (Mono Soi Palai, Supalai Palm Spring, Supalai Vista Phuket, and Phyll Phuket x Phuketique Phyll), où des pièces ont été saisies pour être analysées.
Les paiements de rançon ont été blanchis sur des plateformes de mélange de cryptomonnaies, ce qui a rendu plus difficile pour les forces de l’ordre de retrouver leur portefeuille final, relate Bleeping Computer.
En 2023, le ministère américain de la Santé et des Services sociaux a averti que les opérateurs de 8Base ciblaient des organisations du monde entier, sans limites.
« Selon les attaques du groupe, 8Base cible principalement les PME basées aux États-Unis, au Brésil et au Royaume-Uni. Les autres pays touchés sont l’Australie, l’Allemagne, le Canada et la Chine, entre autres. Il est à noter qu’aucun pays de l’ex-Union soviétique ou de la CEI n’a été ciblé », explique le bulletin du HHS, en page 4. (Crédits : DR)
Dans un message publié sur son site de fuite du dark web avant le démantèlement de cette semaine, 8base se décrivait comme des « pentesters honnêtes et simples », indique Techrunch. Mais avant de crier victoire, il faut raison garder. Car le retour d’expérience de l’opération sur le ransomware LockBit rappelle que de couper une tête sur une hydre, n’est pas concluant.
