Admin Phobos Ransomware Mengaku Bersalah dalam Kasus Konspirasi Penipuan

Seorang warga negara Rusia mengaku bersalah atas dakwaan konspirasi penipuan transfer elektronik (wire fraud conspiracy) terkait perannya sebagai administrator operasi ransomware Phobos, yang telah menyerang ratusan korban di seluruh dunia.

Phobos merupakan operasi ransomware-as-a-service (RaaS) yang telah berjalan lama dan dikaitkan dengan keluarga ransomware Crysis. Layanan ini didistribusikan melalui banyak afiliasi dan menyumbang sekitar 11% dari seluruh laporan yang masuk ke layanan ID Ransomware dalam periode Mei hingga November 2024.

Menurut Departemen Kehakiman AS, kelompok ini telah mengumpulkan lebih dari 39 juta dolar AS dari lebih 1.000 entitas publik dan swasta di berbagai negara.

Diekstradisi dari Korea Selatan

Tersangka, Evgenii Ptitsyn (43), diekstradisi dari Korea Selatan pada November 2024 dan didakwa di Amerika Serikat atas perannya mengawasi penjualan, distribusi, dan operasional harian Phobos.

Dokumen pengadilan menyebut Ptitsyn dan para komplotannya telah menjalankan operasi ini setidaknya sejak November 2020. Mereka menjual akses ke ransomware Phobos kepada afiliasi kriminal melalui situs darknet dan forum bawah tanah dengan nama samaran “derxan” dan “zimmermanx”.

Para afiliasi kemudian membobol jaringan target—termasuk sekolah, rumah sakit, dan lembaga pemerintah—sering kali menggunakan kredensial curian. Setelah mencuri dan mengenkripsi data sensitif, mereka menuntut tebusan serta mengancam akan membocorkan data tersebut secara daring jika korban menolak membayar.

Skema Pembagian Keuntungan

Dalam skema ini, afiliasi membayar biaya per penyebaran kepada administrator Phobos untuk memperoleh kunci dekripsi. Ptitsyn juga mengambil bagian dari pembayaran tebusan korban.

Antara Desember 2021 hingga April 2024, seluruh biaya kunci dekripsi ditransfer dari dompet kripto afiliasi ke satu dompet administrator Phobos yang berada di bawah kendali Ptitsyn.

Setiap penyebaran ransomware diberi kode alfanumerik unik agar dapat dicocokkan dengan kunci dekripsi yang sesuai. Afiliasi diwajibkan membayar biaya sekitar 300 dolar AS per serangan untuk mendapatkan kunci pemulihan file.

Ptitsyn dijadwalkan menjalani sidang vonis pada 15 Juli mendatang dan menghadapi ancaman hukuman maksimal 20 tahun penjara.

Operasi Aether dan Penindakan Global

Awal tahun ini, polisi Polandia juga menahan seorang pria berusia 47 tahun yang diduga terkait Phobos dalam operasi internasional bertajuk “Operation Aether” yang dikoordinasikan oleh Europol.

Operasi tersebut menargetkan berbagai lapisan jaringan Phobos, mulai dari operator infrastruktur backend hingga afiliasi yang melakukan intrusi dan enkripsi data.

Dalam salah satu aksi besar pada Februari 2025, aparat menahan dua afiliasi dan menyita 27 server. Sebelumnya, seorang afiliasi lain juga ditangkap di Italia pada 2023.

Sebagai hasil operasi tersebut, aparat penegak hukum juga berhasil memperingatkan lebih dari 400 perusahaan di seluruh dunia mengenai serangan ransomware yang sedang atau akan terjadi.

Kasus ini menegaskan bahwa model bisnis ransomware-as-a-service tetap menjadi ancaman global, namun juga menunjukkan peningkatan koordinasi internasional dalam membongkar jaringan kejahatan siber lintas negara.