Шифровальщику Phobos объявили войну: арестованы четверо, сайт 8base закрыт

Шифровальщику Phobos объявили войну: арестованы четверо, сайт 8base закрыт

Шифровальщику Phobos объявили войну: арестованы четверо, сайт 8base закрыт

Тайские СМИ сообщили о четырех арестах по подозрению в проведении атак с использованием шифровальщика Phobos. Одновременно полиция Баварии заблокировала даркнет-сайт группировки 8base, которая тоже оперировала этим зловредом.

Таковы новые результаты международной операции Phobos Aetor, в которой принимают участие правоохранительные органы США, стран Западной Европы и Азии. По оценке американцев, от атак шифровальщика пострадали более 1000 организаций в разных регионах; суммарный ущерб достиг $16 миллионов.

Аресты в Таиланде произведены по просьбе властей Швейцарии и США. Местные СМИ пишут, что задержанные — европейцы; по данным Европола, они россияне, притом лидеры 8base.

Кроме сайта ОПГ, на котором теперь красуется баннер с сообщением о блокировке, правоохранителям удалось обезвредить 27 серверов, связанных с операциями Phobos.

 

Разработчиком шифровальщика предположительно является россиянин Евгений Птицын, который в конце прошлого года предстал перед судом после экстрадиции из Южной Кореи в США.

Вредонос, шифрующий файлы по AES, предоставляется в пользование как услуга (Ransomware-as-a-Service, RaaS), и 8base, видимо, оформила подписку. Созданный ею кастомный вариант Phobos после обработки добавляет к именам файлов расширение .8base или .eight.

Насколько известно, 8base объявилась в интернете в 2022 году. Злоумышленники используют тактику двойного шантажа (не только шифруют, но и воруют данные и грозят публикацией в случае неуплаты выкупа) и объявили себя специалистами по пентесту — как некогда вымогатели Cl0p, которые оправдывали свои атаки стремлением поставить мишеням на вид небрежное отношение к клиентским данным.

Apple: экс-сотрудник использовал редкий баг для передачи данных OpenAI

Apple подала в суд на OpenAI, обвинив корпорацию в краже коммерческой тайны. Купертиновцы подозревают бывшего инженера Apple Чанга Лю, который после перехода в OpenAI якобы продолжал заходить во внутреннюю сеть прежнего работодателя и скачивал данные о ещё не выпущенных продуктах.

По версии Apple, Лю обнаружил редкую и ранее неизвестную ошибку аутентификации. Уязвимость позволяла ему получать доступ к корпоративному хранилищу уже после увольнения.

Apple утверждает, что за несколько недель Лю забрал десятки файлов с инженерными презентациями, техническими характеристиками и данными по закрытым проектам. Техногигант проверил серверные журналы и заявил, что дыру теоретически могли использовать ещё несколько человек, но следы эксплуатации нашли только у Лю.

Отдельный штрих — бывший сотрудник якобы не вернул рабочий ноутбук Apple и даже воспользовался компьютером знакомой, которая тогда ещё работала в корпорации, а позже тоже перешла в OpenAI.

В переписке Лю, как утверждается в иске, отреагировал на сохранившийся доступ фразой:

«LOL, я выяснил, что всё ещё могу зайти в хранилище, очень смешно».

Apple уже закрыла уязвимость и отключила доступ. Но вопрос остался неприятный: как человек после увольнения неделями мог ходить по внутренней сети компании, которая продаёт безопасность как часть своего бренда?

OpenAI ранее заявляла, что не заинтересована в чужих коммерческих тайнах. Теперь разбираться, кто что знал и кто что скачивал, будет суд присяжных в Калифорнии.

RSS: Новости на портале Anti-Malware.ru