Evgenii Ptitsyn, un ressortissant russe et administrateur présumé de l’opération du ransomware Phobos, a été extradé de Corée du Sud et fait face à des accusations de cybercriminalité aux États-Unis.

Phobos est un ransomware-as-a-service de longue durée (RaaS) (dérivé de la famille de ransomwares Crysis) largement distribué via de nombreuses filiales. Entre mai 2024 et novembre 2024, il représentait environ 11 % de toutes les soumissions au service ID Ransomware.

Le ministère de la Justice a lié le gang du ransomware Phobos à des violations de plus de 1 000 entités publiques et privées aux États-Unis et dans le monde, avec des rançons d’une valeur de plus de 16 millions de dollars.

Selon des documents judiciaires, Ptitsyn et ses co-conspirateurs auraient développé et, à partir de novembre 2020, auraient fourni aux filiales de Phobos un accès aux charges utiles de ransomware nécessaires pour chiffrer les systèmes des victimes et la plate-forme utilisée pour extorquer le paiement des rançons.

« Les administrateurs exploitaient un site Web darknet pour coordonner la vente et la distribution du ransomware Phobos aux co-conspirateurs et utilisaient des surnoms en ligne pour annoncer leurs services sur des forums criminels et des plateformes de messagerie. Aux moments pertinents, Ptitsyn aurait utilisé les surnoms « derxan » et « zimmermanx ». « , » le ministère de la Justice dit.

Les filiales de Phobos auraient piraté les réseaux des victimes en utilisant des informations d’identification volées pour voler des fichiers et déployer le ransomware Phobos pour crypter leurs données.

Ils ont également laissé des notes de rançon et contacté les victimes par le biais d’appels et de courriels, tentant d’extorquer chaque victime et exigeant le paiement d’une rançon en échange de clés de décryptage, sous la menace de divulguer leurs fichiers volés en ligne si elles ne payaient pas.

​Après des attaques ayant abouti au paiement d’une rançon, les affiliés ont payé les administrateurs de Phobos, dont Ptitsyn, pour les clés de décryptage. Comme l’a déclaré lundi le ministère de la Justice, chaque déploiement de ransomware avait une chaîne alphanumérique unique qui le reliait à la clé correspondante, et les paiements étaient dirigés vers des portefeuilles de crypto-monnaie spécifiques propres à chaque affilié.

« De décembre 2021 à avril 2024, les frais de clé de décryptage ont ensuite été transférés du portefeuille unique de crypto-monnaie affilié vers un portefeuille contrôlé par Ptitsyn », a ajouté le ministère de la Justice.

Ptitsyn est inculpé de 13 chefs d’accusation, dont fraude électronique, complot en vue de commettre une fraude informatique et extorsion liée au piratage informatique. S’il est reconnu coupable, il encourt jusqu’à 20 ans pour chaque chef d’accusation de fraude électronique, 10 ans pour chaque chef d’accusation de piratage informatique et cinq ans pour des accusations de complot.

« Ptitsyn et ses complices ont piraté non seulement de grandes entreprises mais aussi des écoles, des hôpitaux, des organisations à but non lucratif et une tribu reconnue par le gouvernement fédéral, et ils ont extorqué plus de 16 millions de dollars en rançon », a déclaré Nicole M. Argentieri, chef du département de la Justice. Division criminelle.

« Nous sommes particulièrement reconnaissants envers nos partenaires nationaux et étrangers chargés de l’application des lois, comme la Corée du Sud, dont la collaboration est essentielle pour perturber et dissuader les menaces cybercriminelles les plus importantes auxquelles sont confrontés les États-Unis. »