Ba Lan bắt giữ nghi phạm liên quan đến vụ tấn công mã độc tống tiền Phobos

Cảnh sát Ba Lan mới đây đã bắt giữ một người đàn ông 47 tuổi bị tình nghi có liên hệ với nhóm tin tặc mã độc tống tiền Phobos, đồng thời thu giữ máy tính cùng điện thoại di động chứa thông tin đăng nhập bị đánh cắp, số thẻ tín dụng và dữ liệu truy cập máy chủ.

Chiến dịch do Europol điều phối

Theo đó, Cục Kiểm soát Tội phạm mạng Trung ương Ba Lan (CBZC) đã bắt giữ nghi phạm tại vùng Małopolska trong một chiến dịch phối hợp giữa các đơn vị từ Katowice và Kielce. Hành động này là một phần của “Chiến dịch Aether”, một nỗ lực quốc tế rộng lớn hơn do Tổ chức Cảnh sát hình sự quốc tế (Europol) điều phối và nhắm mục tiêu vào cơ sở hạ tầng và các chi nhánh của mã độc tống tiền Phobos.

Trong quá trình khám xét nơi ở của nghi phạm, các điều tra viên dưới sự giám sát của Văn phòng Công tố Quận Gliwice, đã tìm thấy trên các thiết bị của người này chứa các tệp tin bao gồm thông tin đăng nhập, mật khẩu, số thẻ tín dụng và địa chỉ IP máy chủ có thể được sử dụng để truy cập trái phép vào hệ thống máy tính và tạo điều kiện cho các cuộc tấn công mã độc tống tiền.

Cảnh sát cũng xác định rằng nghi phạm sử dụng các ứng dụng nhắn tin mã hóa để liên lạc với tổ chức tội phạm mạng Phobos.

“Những dữ liệu này có thể được sử dụng để thực hiện nhiều cuộc tấn công khác nhau, bao gồm cả tấn công mã độc tống tiền. Sau khi thực hiện các biện pháp kỹ thuật, chúng tôi phát hiện rằng trên nghi phạm có dữ liệu có thể được sử dụng để phá vỡ an ninh điện tử. Ngoài ra, người đàn ông 47 tuổi này còn liên lạc với Phobos, một nhóm nổi tiếng với các cuộc hoạt động mã độc tống tiền, thông qua các ứng dụng nhắn tin mã hóa”, CBZC cho biết.

Nghi phạm hiện đang phải đối mặt với cáo buộc theo Điều 269b của Bộ luật Hình sự Ba Lan về tội sản xuất, thu thập và phân phối các chương trình máy tính được thiết kế để đánh cắp thông tin lưu trữ trong hệ thống công nghệ thông tin (công cụ hack), đối diện với án phạt tù tối đa 5 năm.

Chiến dịch Aether nhắm mục tiêu vào Phobos

Phobos là một hoạt động tấn công mã độc tống tiền dưới dạng dịch vụ (RaaS) đã hoạt động lâu năm (xuất phát từ Crysis), mặc dù nhận được ít sự chú ý hơn các nhóm khác, nhưng các tin tặc này đã gây ra nhiều vụ tấn công vào các doanh nghiệp trên toàn thế giới và được coi là một trong những hoạt động mã độc tống tiền có phạm vi phân phối rộng nhất.

Từ tháng 5/2024 đến tháng 11/2024, Phobos chiếm khoảng 11% tổng số vụ tấn công được gửi đến dịch vụ ID Ransomware. Bộ Tư pháp Mỹ trước đây cũng đã liên kết băng nhóm này với các vụ xâm phạm an ninh mạng tại hơn 1.000 tổ chức công và tư nhân trên toàn thế giới, với tổng số tiền chuộc lên tới hơn 16 triệu USD.

Chiến dịch Aether nhắm mục tiêu vào các cá nhân có liên hệ với Phobos ở nhiều cấp độ khác nhau, bao gồm các nhà điều hành cơ sở hạ tầng phía sau và các chi nhánh tham gia vào các vụ xâm nhập mạng và mã hóa dữ liệu.

Một kết quả quan trọng của chiến dịch toàn cầu này là việc dẫn độ kẻ bị cáo buộc là quản trị viên của Phobos sang Mỹ vào tháng 11/2024, cũng như một sự gián đoạn lớn vào tháng 02/2025, khi cảnh sát thu giữ 27 máy chủ và bắt giữ hai nghi phạm liên kết tại Phuket, Thái Lan. Mặt khác, một thành viên chủ chốt của Phobos cũng đã bị bắt giữ tại Ý vào năm 2023, làm suy yếu thêm mạng lưới tội phạm mạng đứng sau nhóm tin tặc này.

“Thông qua chiến dịch, các cơ quan thực thi pháp luật cũng đã có thể cảnh báo hơn 400 công ty trên toàn thế giới về các cuộc tấn công mã độc tống tiền đang hoặc sắp xảy ra. Chiến dịch quốc tế này, được chúng tôi và Cơ quan Hợp tác Tư pháp hình sự Liên minh châu Âu (Eurojust) hỗ trợ, có sự tham gia của các cơ quan thực thi pháp luật từ 14 quốc gia”, Europol cho biết vào tháng 02/2025.

Vào tháng 7/2025, cảnh sát Nhật Bản cũng đã phát hành một công cụ giải mã liên quan đến mã độc tống tiền Phobos và 8-Base, cho phép các nạn nhân khôi phục lại tệp tin của họ miễn phí.