Policja – Narzędzie do deszyfracji plików

Centralne Biuro Zwalczania Cyberprzestępczości informuje, że w wyniku współpracy z Europolem oraz policją japońską powstało narzędzie umożliwiające odzyskanie dostępu do danych, które zostały zaszyfrowane w wyniku działalności oprogramowania złośliwego Phobos/8Base. Narzędzie to zostało udostępnione nieodpłatnie dla wszystkich osób, firm i instytucji, które padły ofiarą oprogramowania ransomware Phobos/8Base i jest dostępne do pobrania na witrynie internetowej nomoreransom.org oraz policji japońskiej.

Przeprowadzona analiza zagrożeń pozwoliła na wykazanie grup ransomware Phobos i 8Base jako jednych z najbardziej aktywnych w 2024 roku. Wykryte po raz pierwszy w grudniu 2018 roku oprogramowanie ransomware Phobos stało się narzędziem wykorzystywanym przez cyberprzestępców w wielkoskalowych atakach wymierzonych w firmy i organizacje na całym świecie, które często nie posiadają wdrożonych systemów zapewniających wymagany poziom cyberbezpieczeństwa.

Jego model Ransomware-as-a-Service (RaaS) sprawił, że złośliwe oprogramowanie było dostępne dla szerokiego grona odbiorców, zarówno od pojedynczych osób po zorganizowane grupy w tym, 8Base. Łatwość w uzyskaniu dostępu oraz dostosowanie modelu oprogramowania pozwalała cyberprzestępcom na ich szerokie zastosowanie przy znikomej wiedzy technicznej, co sprawiło, że takie rozwiązanie zyskało na szerokiej popularności.

Wynikiem działalności oprogramowania ransomware jest uniemożliwienie dostępu do zawartości danych poprzez ich zaszyfrowanie, a następnie wymuszenie okupu w zamian za ich odszyfrowanie, za co zapłata najczęściej odbywa się w kryptowalutach.

W listopadzie 2024 roku w sądzie okręgowym w USA został przedstawiony akt oskarżenia obywatelowi Rosji za kierowanie grupą ransomware Phobos, której członkowie dokonali ponad 2 tys. ataków ransomware w Stanach Zjednoczonych i reszcie świata. Grupa ta włamywała się nie tylko do dużych korporacji ale także do szkół, szpitali, organizacji non-profit, czego skutkiem było wyłudzenie ponad 16 mln dolarów okupu. W lutym 2025 roku w wyniku międzynarodowej akcji organów ścigania zostały zatrzymane osoby narodowości rosyjskiej kierujące grupą 8Base oraz została zabezpieczona infrastruktura wykorzystywana do ataków.

Policja japońska we współpracy z amerykańskim FBI opracowała narzędzie do deszyfracji plików pochodzących z oprogramowania ransomware Phobos/8Base. Prace nad deszyfratorem trwały ponad rok, polegały na analizowaniu mechanizmu szyfrowania przez ransomware Phobos/8Base oraz jego inżynierii wstecznej, co pozwoliło na stworzenie opisywanego narzędzia. Decyzją Europolu została rozpowszechniona informacja na temat stworzonego deskryptora przy jednoczesnym zachęceniu do jego wykorzystania, umożliwiając organizacjom pomagającym ofiarom na całym świecie proces odbudowy po przeprowadzonych atakach. Przyświecała temu perspektywa promowania przeciwdziałania oprogramowaniu ransomware na skalę globalną. Narzędzie  to zostało udostępnione nieodpłatnie dla wszystkich osób, firm i instytucji, które padły ofiarą oprogramowania ransomware Phobos/8Base i jest dostępne do pobrania na witrynie internetowej –  nomoreransom.org i policji japońskiej. .

W czerwcu 2025 roku w ramach przedsięwzięcia zorganizowanego przez Szwajcarską Policję Federalną w siedzibie Fedpol odbyły się warsztaty, w których udział wziął funkcjonariusz Centralnego Biura Zwalczania Cyberprzestępczości oraz inni przedstawiciele krajów tj. USA, Wielkiej Brytanii, Niemiec, Belgii, Japonii, Singapuru, Hiszpanii, Francji, a także przedstawiciele Europolu. Spotkanie dotyczące tematyki przeciwdziałania oprogramowaniu ransomware Phobos umożliwiło wymianę doświadczeń, kooperację pomiędzy krajami członkowskimi, dalsze i skuteczne przeciwdziałanie cyberprzestępczości, a także wypracowanie mechanizmów obronnych czego wynikiem jest powstanie deszyfratora.

CBZC/mw

Fot. Pixabay