Site do ransomware 8Base é derrubado após autoridades tailandesas prenderem quatro suspeitos ligados à operação

O site do grupo hacker 8Base foi derrubado na última segunda-feira e substituído por um aviso das forças de segurança de vários países.

O aviso de apreensão foi publicado poucas horas depois que veículos de imprensa da Tailândia noticiaram a prisão de quatro indivíduos supostamente envolvidos com a operação de ransomware.

Ao ser questionado sobre o caso, um porta-voz da Europol confirmou que a agência está apoiando uma operação internacional contra um grupo de ransomware, mas não forneceu mais detalhes, afirmando que mais informações seriam divulgadas na terça-feira. O banner da apreensão exibido no site continha logotipos do FBI, da National Crime Agency do Reino Unido e de forças policiais federais da Alemanha, República Tcheca, Suíça e Europol.

A mensagem publicada informava: "Este site oculto e seu conteúdo criminoso foram apreendidos pelo Escritório da Polícia Criminal do Estado da Baviera sob ordem do Ministério Público de Bamberg."

Nem o FBI, nem as autoridades alemãs forneceram mais informações sobre a operação.

O grupo hacker 8Base surgiu recentemente, mas intensificou suas atividades no verão de 2023, assumindo a autoria de ataques contra organizações de grande porte, incluindo o Programa das Nações Unidas para o Desenvolvimento (PNUD), a Atlantic States Marine Fisheries Commission e uma agência canadense responsável pela administração de benefícios odontológicos para pessoas com deficiência na província de Alberta.

Pesquisadores da VMware apontaram que, apesar de ser um grupo novo, a sofisticação e rapidez dos ataques sugerem que o 8Base não foi criado do zero, mas sim uma continuação de uma organização cibercriminosa madura e experiente. Outras análises indicaram conexões do 8Base com RansomHouse e Phobos, duas conhecidas operações de ransomware.

O especialista em ransomware Allan Liska, da Recorded Future, destacou que o 8Base é um exemplo de como grupos hackers aprimoram suas capacidades ao longo do tempo. Inicialmente, o código do 8Base era praticamente idêntico ao do Phobos, mas à medida que receberam pagamentos de resgate, investiram na melhoria do malware, reduzindo a semelhança com a versão original.

Prisões em Phuket

A derrubada do site coincidiu com a prisão de quatro suspeitos em Phuket, um famoso destino turístico no sul da Tailândia. A operação, chamada “PHOBOS AETOR”, resultou na prisão de quatro europeus acusados de roubar US$ 16 milhões por meio de ataques de ransomware contra mais de 1.000 vítimas em todo o mundo.

As autoridades tailandesas não divulgaram os nomes dos suspeitos, mas informaram que órgãos da Suíça e dos Estados Unidos emitiram mandados de prisão contra eles. Segundo a Cyber Crime Investigation Bureau da Tailândia, os suspeitos foram detidos em batidas policiais em quatro locais diferentes em Phuket e agora enfrentam acusações nos EUA por fraude eletrônica e conspiração. Além disso, mandados da Interpol também foram emitidos, conforme relatado pelo portal de notícias tailandês Khaosod.

Os detidos são acusados de atacar 17 empresas suíças e de utilizar serviços de mistura de criptomoedas para lavar o dinheiro recebido através dos resgates.

Liska ressaltou que o 8Base costumava focar seus ataques em empresas do setor de manufatura, com forte atuação nos Estados Unidos e na Holanda.

Em novembro de 2024, o Departamento de Justiça dos EUA indiciou o cidadão russo Evgenii Ptitsyn por seu envolvimento com o ransomware Phobos, após sua extradição da Coreia do Sul. Pesquisadores notaram que a atividade do 8Base diminuiu significativamente após essa prisão, sugerindo uma possível conexão entre os grupos.

A derrubada do site do 8Base faz parte de uma série de operações de alto impacto contra grupos hackers de ransomware, que resultaram em uma queda de 35% nos pagamentos de resgates em 2024. Com o desmantelamento de organizações como LockBit e AlphV/BlackCat, os valores extorquidos caíram de US$ 1,25 bilhão em 2023 para US$ 812,55 milhões em 2024.

“Em 2024, houve uma forte atuação das forças de segurança contra grupos de ransomware, e é excelente ver esse esforço continuar em 2025. Ações policiais sustentadas parecem ser uma das melhores formas de desacelerar os ataques de ransomware”, afirmou Liska.

Via - TRM