16 millones de dólares y 1.000 víctimas: cómo los hackers de Phobos cayeron en la trampa de los servicios de inteligencia

La operación internacional de las fuerzas del orden ha llevado al arresto de cuatro presuntos miembros del grupo Phobos en Phuket, Tailandia, y a la eliminación de los recursos web clandestinos de 8Base. Los sospechosos están acusados de llevar a cabo ataques contra más de 1000 víctimas en todo el mundo, exigiendo un rescate por los datos cifrados.

Entre los detenidos se encuentran dos hombres y dos mujeres, todos ciudadanos de países europeos. Según la investigación, extorsionaban a sus víctimas exigiendo criptomonedas, con un daño total estimado en 16 millones de dólares en bitcoins. La operación, denominada «Phobos Aetor», incluyó registros simultáneos en cuatro ubicaciones, donde se incautaron computadoras portátiles, teléfonos inteligentes y monederos de criptomonedas para su posterior análisis.

Las detenciones se llevaron a cabo a solicitud de las autoridades suizas, que buscan la extradición de los sospechosos. Se informa que organizaron ataques cibernéticos contra 17 empresas en Suiza desde abril de 2023 hasta octubre de 2024. Durante los ataques, los delincuentes obtenían acceso a redes corporativas, robaban datos confidenciales y bloqueaban archivos, exigiendo pagos en criptomonedas a cambio de claves de descifrado y promesas de no divulgar la información robada.

Para ocultar su rastro, los criminales blanqueaban los rescates obtenidos mediante servicios de anonimización de transacciones en criptomonedas, dificultando el seguimiento de los flujos financieros.

Como parte de la misma operación, se bloquearon los recursos web pertenecientes al grupo 8Base, especializado en el cifrado de datos y la extorsión. Al intentar acceder a su plataforma, ahora se muestra un mensaje indicando que el sitio ha sido confiscado por la Oficina de Policía Criminal de Baviera por orden de la Fiscalía de Alemania.

La incautación de los sitios web fue el resultado de acciones coordinadas de las fuerzas del orden de Tailandia, Rumanía, Alemania, Suiza, Japón, Estados Unidos, Chequia, España, Francia, Bélgica y el Reino Unido. Europol confirmó su participación en la operación, señalando que brindan apoyo en la investigación.

El grupo 8Base inició sus actividades en marzo de 2022, pero hasta junio de 2023 prácticamente no había llamado la atención. Los especialistas en ciberseguridad sospechaban que podría tratarse de una reestructuración de otra red criminal o de un grupo formado por hackers experimentados. Investigadores de VMware encontraron similitudes entre 8Base y RansomHouse, como el estilo de las notas de rescate y el diseño de sus plataformas web. Sin embargo, hasta el momento no se ha confirmado ninguna conexión entre ambos grupos.

Al igual que otros operadores de ransomware, 8Base penetraba en redes corporativas, se propagaba sigilosamente dentro de la infraestructura, robaba datos y luego cifraba los dispositivos con el cifrador Phobos. Las sumas exigidas por la descodificación eran elevadas, oscilando entre cientos de miles y millones de dólares.

En 2023, el Departamento de Salud y Servicios Humanos de EE.UU. advirtió que 8Base tenía como objetivo organizaciones de todo el mundo, incluido el sector sanitario. Según la agencia, las principales víctimas eran pequeñas y medianas empresas en EE.UU., Brasil y el Reino Unido. También se registraron ataques en Australia, Alemania, Canadá y China.

Algunas de las víctimas más grandes de 8Base fueron el gigante industrial japonés Nidec Corporation, con una facturación de 11.000 millones de dólares, y el Programa de las Naciones Unidas para el Desarrollo (PNUD).

La cooperación entre agencias de seguridad internacionales sigue dando resultados en la lucha contra la ciberdelincuencia, pero los expertos advierten que, tras la disolución de grupos criminales, rápidamente surgen nuevas estructuras que utilizan las mismas tácticas.