Las figuras clave detrás de los ransomware Phobos y 8Base arrestadas en una redada internacional contra el cibercrimen
La inteligencia de amenazas identifica a Phobos y 8Base entre los grupos de ransomware más activos de 2024
Oipol & Oijust Global Operación | Agencia Europea para la Cooperación Policial (Europol), comunicación y fotos,11 de febrero de 2025 | Oipol & Oijust OSINT, cooperación, traducción, edición, 11 de marzo de 2025 – En la primera semana de febrero de 2025, una acción coordinada de las fuerzas de seguridad internacionales condujo a la detención de cuatro personas que supuestamente lideraban el grupo de ransomware 8Base. Se sospecha que estos individuos, todos ciudadanos rusos, están utilizando una variante del ransomware Phobos para extorsionar a víctimas de toda Europa y el resto del mundo para obtener pagos de alto valor. Al mismo tiempo, se desmantelaron 27 servidores vinculados a la red criminal.
Esto sigue a una serie de arrestos de alto impacto dirigidos contra el ransomware Phobos:
Un administrador de Phobos fue arrestado en Corea del Sur, en junio de 2024 y extraditado a Estados Unidos en noviembre del mismo año. Ahora se enfrenta un proceso judicial por orquestar ataques de ransomware que cifraron infraestructuras críticas, sistemas empresariales y datos personales a cambio de un rescate.
Un afiliado clave de Phobos fue arrestado en Italia en 2023 por una orden de arresto francesa, lo que debilitó aún más la red detrás de esta cepa de ransomware. Gracias a esta operación, las fuerzas de seguridad también pudieron advertir a más de 400 empresas de todo el mundo sobre ataques de ransomware en curso o inminentes.
La compleja operación internacional, reportada a Oipol & Oijust por Europol el 11 de febrero de 2025, apoyada por la Agencia Europea para la Cooperación Policial (Europol) y la Agencia Europea para la Cooperación Judicial Penal (Eurojust), involucró a las fuerzas de seguridad de 14 países. Mientras algunos se centraron en la investigación de Phobos, otros se centraron en 8Base, y varios de ellos participaron en ambas.
Europol desempeñó un papel fundamental al reunir información de inteligencia de estas investigaciones separadas, lo que permitió a las autoridades acabar con los actores clave de ambas redes de ransomware en un esfuerzo coordinado.
Phobos: es un ransomware discreto pero muy eficaz, detectado por primera vez en diciembre de 2018, es una herramienta de ciberdelincuencia de larga data que se utiliza con frecuencia en ataques a gran escala contra empresas y organizaciones de todo el mundo. A diferencia de los grupos de ransomware de alto perfil, que atacan a grandes corporaciones, Phobos se basa en ataques de gran volumen contra pequeñas y medianas empresas, que a menudo carecen de las defensas de ciberseguridad necesarias para protegerse.
El modelo de Phobos se trata de Ransomware-as-a-Service (RaaS) lo ha hecho particularmente accesible a una variedad de actores criminales, desde afiliados individuales hasta grupos criminales estructurados como 8Base. La adaptabilidad de este marco ha permitido a los atacantes personalizar sus campañas de ransomware con un conocimiento técnico mínimo, lo que ha impulsado aún más su uso generalizado.
Aprovechando la infraestructura de Phobos, 8Base desarrolló su propia variante del ransomware, utilizando sus mecanismos de cifrado y entrega para adaptar los ataques y lograr el máximo impacto. Este grupo ha sido particularmente agresivo en sus tácticas de doble extorsión, no sólo cifrando los datos de las víctimas sino también amenazando con publicar la información robada a menos que se pague un rescate.
El papel de coordinación de Europol
En un contexto de esfuerzos de aplicación de la ley, que abarcan varios continentes, Europol ha desempeñado un papel central a la hora de conectar a los investigadores y coordinar las acciones de aplicación de la ley. El Centro Europeo de Ciberdelincuencia (EC3) de Europol ha apoyado la investigación desde febrero de 2019 y posibilitó:
* Reunió información de investigaciones paralelas, garantizando que las autoridades policiales que apuntaban a Phobos y 8Base pudieran reunir sus hallazgos y coordinar arrestos de manera eficiente.
* Organizó 37 reuniones operativas y sprints técnicos para desarrollar pistas de investigación clave.
* Proporcionó experiencia analítica, de rastreo criptográfico y forense para respaldar el caso.
* Facilitó el intercambio de inteligencia dentro del Grupo de Trabajo Conjunto sobre Acción contra el Ciberdelito (J-CAT), alojado en su sede.
* Se intercambiaron casi 600 mensajes operativos a través de la red segura SIENA de Europol, lo que convierte a este en uno de los casos de alta prioridad del EC3.
Eurojust organizó dos reuniones de coordinación específicas para ayudar en la cooperación judicial transfronteriza y brindó apoyo ante las solicitudes pendientes de todas las autoridades involucradas.
En la investigación participaron las siguientes autoridades:
Bélgica
Policía Federal (Federale Politie / Police Fédérale).
Chequia
Policía de la República Checa (Policie České republiky).
Francia
Unidad de Ciberdelincuencia de París (Brigade de lutte contre la cybercriminalité de Paris – BL2C), Tribunal de París – Jurisdicción Nacional contra la Delincuencia Organizada (Juridiction Nationale de Lutte contre la Criminalité Organisée – JUNALCO).
Alemania
Oficina de Policía Criminal del Estado de Baviera (Bayerisches Landeskriminalamt – LKA Bayern), Oficina Central de Fiscalización de Delitos Cibernéticos de Baviera (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern).
Japón
Agencia Nacional de Policía (警察庁).
Polonia
Oficina Central de Ciberdelincuencia (Centralne Biuro Zwalczania Cyberprzestępczości).
Rumania
Policía Rumana (Poliția Română).
Singapur
Comando de Delitos Cibernéticos de la Policía de Singapur.
España
Guardia Civil.
Suecia
Autoridad de Policía Sueca (Polisen).
Suiza
Fiscalía General de Suiza (OAG), Policía Federal (fedpol).
Tailandia
Oficina de investigación de delitos cibernéticos (CCIB).
Reino Unido
Agencia Nacional contra el Crimen (NCA)
Estados Unidos
Departamento de Justicia de los Estados Unidos (US DOJ), Oficina Federal de Investigaciones (FBI – Oficina de campo de Baltimore), Centro de Delitos Cibernéticos del Departamento de Defensa de los Estados Unidos (DC3).
EMPACT
La Plataforma Multidisciplinar Europea contra las Amenazas Delictivas ( EMPACT ) aborda las amenazas más importantes que plantea la delincuencia organizada y grave internacional que afecta a la Unión Europea (UE). EMPACT refuerza la cooperación estratégica, operativa y de inteligencia entre las autoridades nacionales, las instituciones, organismos de la UE y los socios internacionales. EMPACT funciona en ciclos de cuatro años y se centra en las prioridades comunes de la UE en materia de delincuencia.
Oipol & Oijust 
Deja un comentario