警方捣毁了8Base勒索软件团伙

一项代号为“Operation Phobos Aetor”的国际执法行动成功捣毁了8Base勒索软件团伙。警方关闭了暗网数据泄露和谈判网站，但尚未公布嫌疑人的姓名。

当局将被查封的网站替换为执法横幅，显示以下信息：“此隐藏网站及其犯罪内容已由巴伐利亚州刑事警察局代表班贝格总检察官办公室查封。”

警方在泰国普吉岛逮捕了四名欧洲公民，他们涉嫌通过勒索软件攻击窃取了超过1600万美元，影响了全球1000多名受害者。

泰国《国家报》报道称，“网络犯罪和移民警察周一在普吉岛逮捕了四名涉嫌欧洲黑客，他们涉嫌将勒索软件部署到17家瑞士公司的计算机网络中。据称他们使用Phobos恶意软件加密网络上的信息，阻止公司访问数据，除非支付赎金并由团伙提供解密密钥。”

嫌疑人还被指控从全球约1000名受害者那里窃取了价值约1600万美元的比特币。当局还查获了包括笔记本电脑、智能手机和数字钱包在内的数字设备。美国和瑞士政府都在追捕这些嫌疑人，瑞士已请求引渡。

该团伙在2023年4月至2024年10月期间，使用Phobos勒索软件入侵了至少17家瑞士公司。

8Base勒索软件团伙自2022年3月以来一直活跃，主要针对金融、制造、商业服务和IT等多个行业的中小型企业。

2023年11月，Cisco Talos研究人员观察到8Base勒索软件运营商使用了一种新的Phobos勒索软件变种。Phobos变种通常通过SmokeLoader分发，但在8Base的攻击活动中，恶意软件在其加密的有效载荷中嵌入了勒索软件组件。勒索软件组件随后被解密并加载到SmokeLoader进程的内存中。

2023年6月，VMware Carbon Black研究人员观察到与名为8Base的隐秘勒索软件团伙相关的活动激增。专家们发现，2023年5月至6月期间，与该威胁行为者相关的活动大幅增加。

VMware研究人员首先注意到Phobos勒索软件使用“.8base”文件扩展名加密文档，这表明可能与8Base团伙有关，或者使用了相同的勒索软件代码库。

Talos研究人员发现，Phobos实现了一些功能，允许运营商在目标系统中建立持久性、执行快速加密并删除备份。

该恶意软件支持以下功能：

- 对小于1.5MB的文件进行完全加密，对大于此阈值的文件进行部分加密，以提高加密速度。较大的文件将在整个文件中加密较小的数据块，并在文件末尾的元数据中保存这些块的列表以及密钥。