De Thaise autoriteiten hebben vier personen aangehouden die worden verdacht van het aanvallen van zeventien Zwitserse bedrijven met de Phobos-ransomware, alsmede grootschalige bitcoindiefstal. Daarnaast hebben autoriteiten de Tor-website van de 8Base-ransomwaregroep in beslag genomen. De groep zou onder andere verantwoordelijk zijn geweest voor een ransomware-aanval op de Bibliotheek Gouda. Het viertal werd zowel door de Amerikaanse als Zwitserse autoriteiten gezocht, zo melden Thaise media.

De Phobos-ransomware werd aangeboden als Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen (partners) op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. De 8Base-groep maakte gebruik van een variant van de Phobos-ransomware, zo liet Cisco eind 2023 weten. De Amerikaanse autoriteiten kwamen eind dat jaar nog met een waarschuwing voor de 8Base-groep (pdf).

Bij de aanvallen zouden de verdachten eerst gegevens hebben gestolen, om die vervolgens op de systemen van slachtoffers te versleutelen. Wanneer bedrijven het gevraagde losgeld niet betaalden werd gedreigd de gestolen data openbaar te maken. Daarnaast wordt het viertal verdacht van het stelen van zo'n zestien miljoen dollar aan bitcoin van duizend slachtoffers wereldwijd.

Update

De Amerikaanse autoriteiten stellen dat de verdachten meer dan duizend organisaties wereldwijd met ransomware hebben aangevallen en daarbij zestien miljoen dollar aan losgeldbetalingen ontvingen.