Europol vient d’annoncer l’arrestation des cybercriminels de 8Base, un redoutable gang spécialiste des cyberattaques par ransomware. La police européenne a en effet interpellé quatre cybercriminels d’origine russe lors d’une opération internationale, menée conjointement par 14 pays, dont la France et la Belgique.
Dans la foulée, « 27 serveurs liés au réseau criminel » ont été saisis. Dans son communiqué de presse, Europol précise que les hackers interpellés sont soupçonnés d’avoir dirigé le groupe 8Base. Il s’agit donc du quatuor à la tête du gang. Pour le moment, 8Base semble avoir été complètement démantelé. Au terme de l’opération internationale, les autorités ont pu prévenir plus de 400 entreprises dans le monde entier d’attaques de ransomware en cours ou prévues dans un avenir proche.
À lire aussi : une étude dévoile la porte d’entrée préférée des ransomwares
Les liens entre 8Base et Phobos
Les pirates sont aussi et surtout soupçonnés d’avoir « déployé une variante du rançongiciel Phobos pour extorquer des paiements de grande valeur à des victimes à travers l’Europe et au-delà ». 8Base s’est en effet appuyé sur un virus développé par Phobos, un groupuscule actif depuis 2018, pour orchestrer ses attaques. Le groupe a conçu sa propre version du ransomware pour chiffrer les données de ses victimes. Entre mai 2019 et octobre 2024, le virus est parvenu à extorquer 16 millions de dollars de rançon à ses victimes, indique le ministère de la Justice américain. C’est d’ailleurs l’un des ransomwares « les plus actifs de 2024 ».
Selon Europol, Phobos cible principalement les petites et moyennes entreprises, souvent vulnérables en raison de leurs défenses de cybersécurité limitées. Il dégageait aussi des bénéfices en proposant son logiciel malveillant par le biais d’un abonnement à d’autres cybercriminels. C’est le fameux modèle du ransomware-as-a-service (RAAS).
Le gang 8Base s’est fait remarquer « en profitant de l’infrastructure de Phobos ». En clair, 8Base faisait partie des affiliés de Phobos. Le groupe s’est aussi distingué par son mode opératoire « particulièrement agressif dans ses tactiques de double extorsion, non seulement en chiffrant les données des victimes, mais aussi en menaçant de publier les informations volées à moins qu’une rançon ne soit payée ». Cette stratégie, de plus en plus répandue chez les pirates, permet de maximiser les chances qu’une entreprise verse une rançon sans tarder.
« Les victimes comprenaient un hôpital pour enfants, des fournisseurs de soins de santé et des établissements d’enseignement », explique la justice américaine.
Comme l’indique Europol, l’arrestation fait suite à une série d’opérations d’envergure contre les pirates de Phobos. L’an dernier, un administrateur de Phobos a été arrêté en Corée du Sud, avant d’être extradé aux États-Unis. Quelques mois plus tôt, un de ses complices avait déjà été interpellé en Italie.
Un climat tendu pour les ransomwares
Ce nouveau coup de filet survient dans un contexte critique pour le monde du ransomware. Frappés à répétition par les forces de l’ordre, les cybercriminels ont enregistré une baisse considérable de leurs gains. L’an dernier, le montant des paiements perçus par les pirates a baissé de plus de 30 % par rapport à 2023.
Dos au mur, les hackers ont été obligés de revoir leurs tactiques, notamment en se servant de nouvelles souches de malwares et en se montrant de plus en plus agressifs. Par ailleurs, de nombreux gangs se concentrent graduellement sur les entités du secteur de la santé, dont les hôpitaux. Gardiens de données sensibles, les hôpitaux sont des cibles de choix pour les criminels.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Europol
