20 февраля, 22:41
17 февраля польская полиция объявила о задержании 47-летнего мужчины, подозреваемого в причастности к группировке Phobos. Это последний арест в рамках операции Aether. Три года спецслужбы девяти стран при поддержке Европола охотились за пользователями вируса-шифровальщика Phobos и связанной с ним группировкой 8Base.
Что такое Phobos?
Phobos — семейство вирусов-вымогателей, популярных у российских хакеров. Классический шифровальщик: блокирует данные жертвы и требует выкуп. Распространялся по модели Ransomware-as-a-service — разработчики сдавали вирус в аренду взломщикам.
С мая по ноябрь 2024 года на долю семейства Phobos приходилось около 11% всех зарегистрированных атак вирусов-вымогателей. По данным Минюста США, жертвами Phobos стали более 1000 государственных и частных организаций по всему миру — корпорации, школы, больницы, НКО и одно племя американских индейцев. Хакеры получили выкупа на $16 млн.
Таймлайн арестов
Первое задержание произошло летом 2023 года в Италии. По запросу Франции там арестовали супружескую пару из России — Илью и Марину Д., 39 и 34 лет: они приехали на отдых и стали обвиняемыми более чем в сотне взломов. Сейчас их судят в Париже. Судя по всему, это пользователи вируса, а не его разработчики.
В середине мая 2024 года в аэропорту Инчхон в Южной Корее задержали 42-летнего гражданина России Евгения Птицына. Первыми об этом сообщили пользователи хакерского форума XSS — на форуме появилась тема, автор которой не смог выйти на связь с администратором Phobos и спросил совета: «ходят слухи, что его приняли». Американский Минюст называет Птицына непосредственным разработчиком Phobos. В ноябре 2024 года его экстрадировали в США, где ему грозит до 20 лет тюрьмы.
Предположительно, задержанный — предприниматель из Приморья, родившийся в ноябре 1982 года. В нулевых работал в администрации Приморского края и московском офисе Росимущества, в 2010-х увлекся восточной философией и путешествиями по Южной Азии. С момента ареста в соцсетях не появлялся.
В феврале 2025 года на Пхукете по запросу США и Швейцарии задержали четверых участников 8Base — группировки, работавшей на варианте Phobos. Все четверо — граждане России. Главное отличие их схемы: они не только шифровали файлы жертв, но и скачивали их, после чего шантажировали по второму кругу, требуя выкуп уже за удаление украденного.
Известны имена двух из четырех — Роман Бережной и Егор Глебов. Мы их идентифицировали: это двое приятелей из Хабаровска — того самого города, где одно время жил предполагаемый разработчик Phobos Птицын. До Phobos Бережной устраивал рэп-вечеринки, Глебов накануне задержания продвигал себя как продюсер YouTube и Reels. Уровень OpSec поражает: мужчины не скрывали общение и оставались «друзьями» во ВКонтакте.
Спасти данные
Параллельно с арестами американские силовики изъяли более 100 серверов, связанных с деятельностью Phobos/8Base. Это позволило японским спецслужбам создать декриптор — алгоритм для расшифровки файлов, заблокированных вирусом. Инструмент доступен на сайте Европола NoMoreRansom.
Декриптор в открытом доступе — последний гвоздь в крышку гроба семейства Phobos. Даже если найдется хакер, который все еще использует эти вирусы, ключ от замка уже у жертв. Никакого выкупа.