Dans le cadre d'une opération contre la cybercriminalité et ayant impliqué près d'une quinzaine de pays, dont la France, Europol annonce l'arrestation de quatre personnes suspectées d'être à la tête du groupe de ransomware 8Base.
« Ce groupe s'est montré particulièrement agressif dans ses tactiques de double extorsion, non seulement en chiffrant les données des victimes, mais aussi en menaçant de publier les informations volées si une rançon n'était pas versée », écrit Europol.
Un total de 27 serveurs en rapport avec 8Base ont été mis hors ligne et plus de 400 entreprises dans le monde ont pu être averties de cyberattaques en cours ou imminentes.
Un groupe actif depuis 2022
Toutes de nationalité russe, les quatre personnes interpellées en Thaïlande auraient déployé une variante du ransomware Phobos qui avait été détecté pour la première fois en décembre 2018. D'après un rapport de Check Point, le groupe 8Base avait fait son apparition en 2022.
« Contrairement aux groupes de ransomware très médiatisés qui ciblent les grandes entreprises, Phobos s'appuie sur des attaques massives contre les petites et moyennes entreprises qui manquent souvent de défenses de cybersécurité nécessaires pour se protéger », souligne Europol.
A priori, 8Base a développé sa propre variante du ransomware Phobos pour le rendre plus efficace dans le contexte des attaques menées.
Après l'extradition d'un administrateur de Phobos
L'opération évoquée par Europol fait suite à de précédentes arrestations, notamment celle d'un administrateur de Phobos qui avait été interpellé en Corée du Sud en juin 2024, puis extradé vers les États-Unis en novembre.
Également de nationalité russe, il est accusé d'avoir administré « la vente, la distribution et l'exploitation du ransomware Phobos ». Son sort a manifestement changé la donne pour le devenir du groupe 8Base.
