Szybka akcja CBZC i Europolu: 47-latek z Polski zatrzymany za współpracę z gangiem ransomware Phobos
Centralne Biuro Zwalczania Cyberprzestępczości we współpracy z Europolem doprowadziło do zatrzymania mieszkańca Małopolski podejrzanego o udział w kampaniach szyfrujących prowadzonych przez grupę Phobos. Podczas przeszukania funkcjonariusze przejęli laptopy, cztery telefony komórkowe, nośniki danych oraz listy loginów, haseł i numerów kart płatniczych, które – według śledczych – mogły służyć do przygotowywania ataków typu ransomware. Mężczyzna usłyszał zarzuty dotyczące wytwarzania i udostępniania narzędzi umożliwiających nieuprawniony dostęp do systemów teleinformatycznych, za co grozi kara do pięciu lat pozbawienia wolności.
Zatrzymanie w Małopolsce: przebieg i materiał dowodowy
Akcję przeprowadziły wydziały CBZC w Katowicach i Kielcach w ramach szerszego dochodzenia kodowanego jako „Aether”. Służby weszły do mieszkania 47-latka nad ranem, korzystając z nakazu prokuratorskiego nakazującego zabezpieczenie infrastruktury elektronicznej. Oprócz komputerów i smartfonów przejęto karty płatnicze, zapiski z adresami IP serwerów oraz klucze kryptowalutowe, które – jak ustalono – były wykorzystywane do przyjmowania okupów. Analiza biegłych potwierdziła, że na dyskach znajdowały się fragmenty kodu Phobos, gotowe konfiguratory złośliwego oprogramowania i wstępnie przygotowane listy potencjalnych ofiar z branży ochrony zdrowia i edukacji.
Phobos i model RaaS: jak działa ekosystem zagrożenia
Phobos funkcjonuje w formule Ransomware-as-a-Service, w której główni operatorzy dostarczają oprogramowanie szyfrujące, a rekruci – tzw. affiliates – przeprowadzają właściwe włamania. Dochody są dzielone według z góry ustalonego klucza, zazwyczaj 70/30 na korzyść wykonawców ataku. Według analiz firm zajmujących się cyberbezpieczeństwem grupa zaszyfrowała już systemy ponad tysiąca organizacji, od szpitali i placówek samorządowych po średnie przedsiębiorstwa. Amerykańskie organy ścigania szacują, że łączna wartość wymuszonych okupów przekroczyła 16 mln dolarów, przy medianie pojedynczego żądania w wysokości około 54 tys. dolarów. Phobos wyróżnia się szybkim cyklem modyfikacji kodu, korzysta z podwójnego wymuszenia (szyfrowanie + groźba upublicznienia danych) oraz preferuje kontakt z ofiarą przez szyfrowane komunikatory, co utrudnia namierzenie operatorów.
Operacja Aether: europejska odpowiedź na międzynarodowe gangi ransomware
Koordynowana przez Europol operacja Aether zjednoczyła służby ścigania z 14 państw, w tym Polski, Niemiec, Francji, USA i Korei Południowej. Część zespołów skupiła się na infrastrukturze Phobos, inne na powiązanej grupie 8Base, a kilka prowadziło działania w obu wątkach równolegle. Dotychczasowe rezultaty obejmują ekstradycję jednego z administratorów Phobos do Stanów Zjednoczonych, przejęcie 27 serwerów C2 oraz aresztowanie dwóch podejrzanych w Tajlandii. W ramach prewencji przesłano ostrzeżenia do ponad 400 firm mogących znajdować się na liście potencjalnych celów, a japońska policja – przy wsparciu ekspertów akademickich – udostępniła publicznie narzędzie deszyfrujące pliki zaszyfrowane przez Phobos i 8Base.
Szerszy kontekst: eskalacja zagrożenia i odpowiedź rynku
Według prognoz branżowych całkowite straty generowane przez ransomware mogą do 2031 roku przekroczyć 250 mld dolarów rocznie. W reakcji na narastającą skalę zagrożenia Unia Europejska wzmacnia mechanizmy współpracy międzynarodowej, m.in. poprzez dyrektywę NIS2 i budowę wspólnego centrum operacyjnego ds. cyberbezpieczeństwa. Jednocześnie sektor prywatny inwestuje w rozwiązania EDR oraz w programy bug bounty, które obniżają ryzyko kompromitacji. Ostatnie wyniki operacji Aether pokazują, że połączone działania organów ścigania, CERT-ów i ekspertów z branży mogą realnie ograniczać działalność grup ransomware, choć walka z nimi pozostaje wyścigiem zbrojeń wymagającym ciągłych inwestycji w analizy zagrożeń, edukację użytkowników i rozwój narzędzi kryptograficznych.
