PHOBOS AETOR : arrestations de rançonneurs de 8Base/Phobos en Thaïlande
L’opération internationale PHOBOS AETOR a mené à l’arrestation de quatre individus à Phuket, accusés d’avoir orchestré plus de 1 000 cyberattaques par rançongiciel.
Les forces de police thaïlandaises, suisses et américaines ont mené une opération conjointe baptisée « PHOBOS AETOR », aboutissant à l’arrestation de quatre individus suspectés d’appartenir à un réseau cybercriminel international. Cette action vise à lutter contre les attaques informatiques ayant causé des pertes de plusieurs millions de dollars.
Le 10 février, le bureau d’enquête sur la cybercriminalité de la police thaïlandaise, en partenariat avec la police de l’immigration et les forces de la région 8, a procédé à l’interpellation simultanée de deux hommes et deux femmes à Phuket. Cette action fait suite à une demande urgente de coopération des autorités suisses et américaines, ayant conduit à l’émission de mandats d’Interpol contre les suspects. Repérés, les autorités ont eu peu de temps pour leur mettre la main au collier !
Les perquisitions menées ont permis la saisie de plus de 40 pièces à conviction, incluant des téléphones portables, des ordinateurs et des portefeuilles numériques. Les suspects sont poursuivis pour conspiration en vue de commettre une infraction contre les États-Unis et fraude électronique. Ils agissaient sous le nom de 8Base.
Un réseau criminel à l’origine de 1 000 attaques
Selon les enquêteurs, les suspects faisaient partie d’une organisation cybercriminelle transnationale ayant ciblé des entreprises du monde entier. Le groupe utilisait le rançongiciel Phobos, qui a notamment servi à attaquer 17 entreprises suisses entre avril et octobre 2024. Leur mode opératoire reposait sur l’infiltration des réseaux informatiques des victimes, suivie du vol et du chiffrement des données. Ensuite, les criminels, ils signaient entre autre 8Base, exigeaient des rançons en cryptomonnaies en échange des clés de déchiffrement, sous peine de publier les informations dérobées.
« Ce réseau aurait fait plus de 1 000 victimes dans le monde, engendrant des pertes estimées à 16 millions de dollars », déclarent les autorités.
Afin de brouiller les traces de leurs transactions, les cybercriminels utilisaient des services de mixage de cryptomonnaies (mixers), permettant d’anonymiser les flux financiers et de compliquer les investigations. C’est d’ailleurs pour cela que les autorités se sont attaqués à de nombreux mixers, du moins ceux qui n’étaient pas regardant sur les identités de leurs clients.
Des conséquences majeures et une enquête en cours
Les autorités poursuivent actuellement l’analyse des matériels saisis pour déterminer l’ampleur exacte des dommages et identifier d’éventuels complices. Les identités des suspects n’ont pas été révélées afin de ne pas compromettre l’enquête en cours. Il est déjà étonnant de voir apparaitre Phobos dans les informations données par les autorités.
« Cette arrestation marque une avancée majeure dans la lutte contre la cybercriminalité internationale », souligne un porte-parole des forces de l’ordre.
La coopération entre plusieurs pays illustre la mobilisation internationale pour contrer la menace des rançongiciels, qui continuent de cibler des infrastructures critiques et des entreprises de toutes tailles. ZATAZ a pu constater que le blog de 8Base avait été saisi. « Ce site caché et son contenu criminel ont été saisis par l’Office de la Police Criminelle de l’État de Bavière sur ordre du Parquet Général de Bamberg.«
On notera aussi la présence de la Brigade de lutte contre la cybercriminalité française (@36 Paris) parmi les 18 services judiciaires impliqués dans l’opération.
Le service veille ZATAZ a détecté une nouvelle fuite de données d’ampleur. Cette fois, c’est Taobento qui est touché, avec plus de 170 000 utilisateurs impactés. Ces informations aurait été obtenues par le pirate en février 2025. Le malveillant a diffusé en ligne son larcin et a exposé en ligne pour quelques dollars des données sensibles.