Selon le Bureau du procureur fédéral des États-Unis pour le district du Maryland, un ressortissant russe a plaidé coupable devant un tribunal fédéral à Greenbelt (Maryland) dans une affaire liée au ransomware Phobos.
Plaidoyer de culpabilité d’un administrateur du ransomware Phobos
Contexte
Un ressortissant russe, Evgenii Ptitsyn (43 ans), a plaidé coupable devant un tribunal fédéral américain pour conspiration de fraude électronique liée à l’exploitation du ransomware Phobos.
Ptitsyn administrait l’infrastructure permettant :
- la vente
- la distribution
- l’exploitation
du ransomware Phobos via un modèle Ransomware-as-a-Service (RaaS).
Il a été extradé depuis la Corée du Sud en novembre 2024 vers les États-Unis.
Impact des attaques
Le ransomware Phobos a été utilisé pour cibler :
- plus de 1 000 organisations publiques et privées
- aux États-Unis et dans le monde
Les paiements de rançon extorqués dépassent :
39 millions de dollars
Mode opératoire
Le groupe fonctionnait selon un modèle RaaS (Ransomware-as-a-Service).
1. Distribution du ransomware
Les administrateurs, dont Ptitsyn :
- développaient le ransomware
- vendaient l’accès à des affiliés criminels
- opéraient un site darknet pour gérer l’infrastructure
Les services étaient également promus sur :
- forums cybercriminels
- plateformes de messagerie
2. Compromission initiale
Les affiliés compromettaient les réseaux des victimes en utilisant :
- identifiants volés
- accès non autorisés
- vulnérabilités réseau
3. Exfiltration et chiffrement
Une fois l’accès obtenu, les attaquants :
- volaient les données
- chiffraient les fichiers avec Phobos ransomware
- laissaient une note de rançon
4. Extorsion
Les victimes étaient ensuite contactées via :
- téléphone
Les attaquants exigeaient une rançon en échange :
- d’une clé de déchiffrement
- de la non-divulgation des données volées
Les affiliés menaçaient également de publier les données ou de les transmettre aux clients des victimes.
Modèle financier
Le système fonctionnait via une structure de partage des revenus.
Paiement des affiliés
Après une attaque réussie :
- l’affilié payait une redevance pour la clé de déchiffrement
- chaque attaque possédait un identifiant unique
Les paiements étaient réalisés via :
- cryptomonnaies
Flux financiers
Entre décembre 2021 et avril 2024 :
- les paiements étaient envoyés vers des portefeuilles crypto
- les fonds étaient ensuite transférés vers un wallet contrôlé par Ptitsyn
Ptitsyn percevait également une part directe des rançons payées par les victimes.
Procédure judiciaire
Ptitsyn risque :
- jusqu’à 20 ans de prison
La condamnation sera prononcée :
15 juillet 2026
Enquête internationale
L’enquête a impliqué plusieurs agences internationales :
- FBI
- Département de la Justice américain
- Europol
- autorités de Corée du Sud
- Royaume-Uni
- Japon
- Espagne
- Belgique
- Pologne
- République tchèque
- France
- Roumanie
- U.S. Department of Defense Cyber Crime Center
Analyse
Le ransomware Phobos est l’un des exemples les plus répandus du modèle RaaS, qui permet à des cybercriminels sans compétences techniques avancées de mener des attaques.
Ce modèle repose sur :
- développement centralisé du ransomware
- distribution à des affiliés
- partage des revenus
Les arrestations d’administrateurs visent à perturber l’écosystème ransomware, en ciblant l’infrastructure centrale plutôt que les opérateurs individuels.
Type d’article: opération de police; objet principal: informer d’un plaidoyer de culpabilité lié à une campagne de ransomware à grande échelle.
🔗 Source originale : https://www.justice.gov/usao-md/pr/russian-ransomware-administrator-pleads-guilty-wire-fraud-conspiracy