Evgenii Ptitsyn ha ammesso la colpa per cospirazione per frode telematica nel caso del Phobos ransomware, una delle operazioni ransomware-as-a-service più attive degli ultimi anni. Il cittadino russo di 43 anni, estradato negli Stati Uniti dalla Corea del Sud nel novembre 2024, ha riconosciuto il proprio ruolo centrale nella gestione quotidiana del servizio criminale che, secondo il Dipartimento di Giustizia degli Stati Uniti, ha generato oltre 35,7 milioni di euro di riscatti da più di mille enti pubblici e privati nel mondo. La sentenza è fissata per il 15 luglio e Ptitsyn rischia fino a 20 anni di reclusione. L’ammissione di colpa rappresenta un punto di svolta non solo per il singolo imputato, ma per l’intera rete Phobos colpita dall’Operation Aether coordinata a livello internazionale.
Cosa leggere
Il ruolo di Evgenii Ptitsyn nell’ecosistema Phobos
Evgenii Ptitsyn operava con gli handle derxan e zimmermanx sui forum criminali. Le indagini hanno ricostruito che non più tardi del novembre 2020 aveva iniziato a supervisionare la vendita, la distribuzione e la gestione amministrativa del ransomware. Ptitsyn pubblicizzava l’accesso al malware attraverso un sito darknet e annunci su forum underground. Non era un semplice sviluppatore. Era il coordinatore del modello economico. Controllava la distribuzione del codice, monitorava i pagamenti per le chiavi di decriptazione e incassava una quota dei riscatti versati dagli affiliati. L’ammissione di colpa riguarda specificamente la cospirazione per frode telematica, ma i documenti giudiziari delineano un coinvolgimento diretto in ogni fase operativa: dal marketing criminale alla gestione dei wallet crittografici utilizzati per i pagamenti.
Il modello ransomware-as-a-service di Phobos
Phobos opera come ransomware-as-a-service (RaaS) dal novembre 2020, con radici nella famiglia Crysis. Il modello è semplice ma estremamente efficace: gli affiliati acquistano l’accesso al malware, conducono gli attacchi e condividono i proventi con l’amministrazione centrale. Ogni attacco genera una stringa alfanumerica univoca che permette di abbinare la chiave di decriptazione alla vittima. Questo sistema consente un controllo centralizzato e garantisce che solo chi paga riceva il decryptor. Il servizio fornisce agli affiliati supporto tecnico, aggiornamenti del codice e infrastruttura backend. Questo abbassa la barriera di ingresso per criminali meno esperti, trasformando attori opportunisti in operatori di attacchi sofisticati. Tra maggio e novembre 2024, Phobos rappresenta l’11% di tutti gli invii registrati dal servizio ID Ransomware, un dato che fotografa l’impatto globale della piattaforma.
Scuole, ospedali e agenzie governative nel mirino
Gli affiliati di Phobos colpiscono scuole, ospedali e agenzie governative senza distinzione geografica. L’accesso iniziale avviene spesso tramite credenziali rubate, acquistate o recuperate da precedenti data breach. Una volta entrati nella rete, gli attaccanti esfiltrano file sensibili e successivamente cifrano i sistemi. Le vittime ricevono richieste di pagamento accompagnate da minacce di pubblicazione dei dati, spesso rinforzate da email e telefonate dirette. Le scuole perdono accesso ai registri studenti e ai documenti amministrativi. Gli ospedali subiscono interruzioni nei sistemi clinici e nelle prenotazioni. Le agenzie governative vedono bloccati database pubblici e infrastrutture digitali critiche. Il modello di doppia estorsione aumenta la pressione psicologica sulle vittime e incrementa la probabilità di pagamento.
Il sistema dei 275 euro per chiave di decriptazione
Uno degli elementi più rilevanti emersi dalle indagini riguarda la tariffa fissa pagata dagli affiliati: circa 275 euro per ogni chiave di decriptazione. Ogni deployment riuscito richiede il versamento della somma su un wallet crittografico controllato da Ptitsyn. Le autorità hanno tracciato trasferimenti tra dicembre 2021 e aprile 2024, collegandoli direttamente all’amministratore. Il meccanismo garantisce entrate costanti e controllate. Gli affiliati accettano il costo fisso perché consente loro di completare l’operazione e mantenere credibilità nel circuito criminale. Questo modello evidenzia una struttura aziendale clandestina, con flussi finanziari tracciabili e divisione dei profitti secondo quote prestabilite.
Oltre 35,7 milioni di euro estorti a mille vittime
Il Dipartimento di Giustizia degli Stati Uniti quantifica in oltre 35,7 milioni di euro – equivalenti a circa 39 milioni di dollari – i riscatti pagati da più di mille vittime. Il volume degli attacchi dimostra la scalabilità del modello RaaS. Phobos riesce a colpire simultaneamente organizzazioni in più paesi, sfruttando una rete di affiliati distribuiti. Ptitsyn, secondo le accuse, controllava la parte amministrativa del sistema e riceveva una quota dei pagamenti. L’ammissione di colpa consolida il quadro probatorio raccolto dagli investigatori.
Operation Aether e la rete internazionale contro Phobos
L’Operation Aether ha colpito la rete Phobos a più livelli. All’inizio del 2026 la polizia polacca ha fermato un uomo di 47 anni, sequestrando computer e telefoni contenenti credenziali rubate, numeri di carte di credito e accessi a server compromessi. Nel febbraio 2025 sono stati arrestati due affiliati sospetti e sequestrati 27 server. Un altro affiliato era stato fermato in Italia nel 2023. L’operazione ha coinvolto 14 paesi, con il supporto di Europol ed Eurojust. Gli investigatori hanno disattivato infrastrutture backend, raccolto prove digitali e avvisato oltre 400 aziende di attacchi in corso o imminenti. Il coordinamento transfrontaliero ha permesso di mappare i collegamenti tra affiliati e amministrazione centrale. L’ammissione di colpa di Ptitsyn si inserisce in questo quadro più ampio di smantellamento progressivo dell’ecosistema Phobos.
La sentenza del 15 luglio e il segnale al cybercrime globale
La sentenza per Evgenii Ptitsyn è fissata per il 15 luglio. Il tribunale federale statunitense valuterà le prove raccolte, inclusi i tracciamenti dei wallet e le testimonianze delle vittime. Ptitsyn rischia fino a 20 anni di reclusione. Rimane in custodia negli Stati Uniti in attesa della decisione. Il caso rappresenta un messaggio chiaro ai gestori di ransomware-as-a-service: la dimensione internazionale non garantisce impunità. L’estradizione dalla Corea del Sud e la collaborazione tra forze dell’ordine dimostrano una determinazione crescente contro le strutture organizzate del cybercrime. Per le oltre mille vittime coinvolte, la data del 15 luglio segna un momento cruciale. Per il mondo ransomware, invece, è un ulteriore segnale che l’era dell’anonimato assoluto sta progressivamente restringendosi.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
