Letzte Woche fand eine bedeutende internationale Strafverfolgungsaktion statt. Sie führte zur Festnahme von vier europäischen Verdächtigen in Thailand. Diese Verdächtigen sind allesamt russische Staatsbürger und gelten als führende Köpfe der 8Base-Ransomware-Group. Ihnen wird vorgeworfen, weltweit über 1․000 Opfer mit der Phobos-Ransomware erpresst und damit insgesamt 16 Millionen US-Dollar in Bitcoin erbeutet zu haben.
Abschaltung von Servern
Im Rahmen der Operation Phobos Aetor wurden zudem 27 Server des kriminellen Netzwerks abgeschaltet. Beamte führten Razzien an vier verschiedenen Standorten durch. Über 40 Beweisstücke konnten sichergestellt werden. Dazu gehören Smartphones, Laptops und Kryptowährungs-Wallets. Die Festnahmen geschahen rund um Phuket. Gegenwärtig warten die Verdächtigen auf Ersuchen der US-amerikanischen und ebenfalls schweizerischen Behörden in Bezug auf eine mögliche Auslieferung.
Schließung der Darknet-Seiten
Ein weiterer wichtiger Aspekt der Operation war die Schließung der Darknet-Seiten der 8Base-Ransomware-Group. Diese Seiten dienten der Veröffentlichung von Lösegeldforderungen und gestohlenen Daten. Jetzt stehen Besucher vor einem Beschlagnahme-Banner mit folgender Nachricht: „Diese Darknet-Seite und die strafbaren Inhalte wurden durch das Bayerische Landeskriminalamt im Auftrag der Generalstaatsanwaltschaft Bamberg sichergestellt.“
Internationale Zusammenarbeit der Strafverfolgungsbehörden
An der Operation Phobos Aetor waren Strafverfolgungsbehörden aus 14 Ländern beteiligt. Darunter waren Thailand, Rumänien, Deutschland die Schweiz und die USA. Europol und Eurojust unterstützten die Aktion. Die Phobos-Ransomware wurde erstmals im Dezember 2018 entdeckt. Seither wurde sie häufig gegen kleine und mittlere Unternehmen eingesetzt die mangelnde Cybersicherheit aufwiesen.
Taktiken und Vorgehensweise der 8Base-Ransomware-Group
Das Ransomware-as-a-Service-Modell (RaaS) spielte eine zentrale Rolle bei der Nutzung der Phobos-Ransomware durch kriminelle Gruppen. Die 8Base-Ransomware-Group entwickelte sogar eine eigene Variante. Bei ihrer doppelten Erpressungstaktik gingen sie besonders aggressiv vor. Zuerst verschlüsselten sie die Daten der Opfer. Danach drohten sie mit der Veröffentlichung der gestohlenen Informationen, falls kein Lösegeld gezahlt wurde. Diese Gruppe bezeichnete sich selbst als „Pentester“.
Angriffe auf Schweizer Unternehmen
Medienberichten zufolge war die 8Base-Ransomware-Group seit 2022 aktiv. Zwischen dem 30. April 2023 und dem 26. Oktober 2024 führten sie Angriffe auf mindestens 17 Schweizer Firmen durch. Sowohl Europol sowie andere Ermittlungsbehörden warnen mittlerweile über 400 Unternehmen weltweit vor drohenden Angriffen der 8Base-Ransomware-Group.
Vorangegangene Festnahmen im Zusammenhang
Den aktuellen Festnahmen gingen bereits weitere Verhaftungen voraus. Europol verzeichnete kürzlich das Festnehmen von Mitgliedern der 8Base-Ransomware-Group im Rahmen der Operation Phobos Aetor. Dies geschah im Anschluss an eine Reihe früherer Festnahmen die sich mit der Phobos-Ransomware befassen. Ein wichtiger Partner dieser Ransomware-Variante wurde 2023 in Italien festgenommen. Eine Auslieferung an die USA droht ihm nun. Ein Administrator der Phobos-Ransomware wurde 2024 in Südkorea festgenommen und wird beschuldigt, Ransomware-Angriffe orchestriert zu haben. Diese Angriffe richteten sich gegen kritische Infrastrukturen und persönliche Daten mit dem Ziel, Lösegeld zu erpressen.
Kommentare