Ένας Ουκρανός εκδόθηκε από την Ισπανία στις Ηνωμένες Πολιτείες προκειμένου να αντιμετωπίσει κατηγορίες για τη φερόμενη συμμετοχή του σε επιθέσεις με το ransomware Nefilim.
Ο κατηγορούμενος, Artem Aleksandrovych Stryzhak, 35 ετών, συνελήφθη τον Ιούνιο του 2024 στην Ισπανία και μεταφέρθηκε στις ΗΠΑ στις 30 Απριλίου 2025.
Το αμερικανικό Υπουργείο Δικαιοσύνης αναφέρει πως ο Ουκρανός φέρεται να εμπλέκεται σε επιθέσεις ransomware που είχαν ως στόχο μεγάλες εταιρείες κυρίως στις ΗΠΑ, αλλά και στη Νορβηγία, τη Γαλλία, την Ελβετία, τη Γερμανία και την Ολλανδία.
Δείτε επίσης: Hitachi Vantara: Προβλήματα λόγω επίθεσης από το Akira ransomware
Λέγεται ότι τον Ιούνιο του 2021, ο Stryzhak εντάχθηκε στην ομάδα του ransomware Nefilim ως affiliate, λαμβάνοντας μερίδιο 20% από τα λύτρα που εξασφαλίζονταν μέσω των επιθέσεων. Ο Stryzhak και οι συνεργοί του αναζητούσαν υποψήφιους στόχους μέσω διαδικτυακών εργαλείων, συγκεντρώνοντας στοιχεία όπως οικονομικά δεδομένα, μέγεθος και επαφές επιχειρήσεων. Ένας δημοφιλής ιστότοπος που χρησιμοποιούν συχνά τέτοιες εγκληματικές ομάδες είναι το Zoominfo.
Σύμφωνα με το δελτίο τύπου του DOJ, τον Ιούλιο του 2021 ο διαχειριστής του ransomware Nefilim ενθάρρυνε τον Stryzhak να επικεντρωθεί σε εταιρείες με ετήσια έσοδα άνω των 200 εκατομμυρίων δολαρίων, στις χώρες που αναφέραμε παραπάνω.
Οι επιθέσεις με το Nefilim ransomware περιλαμβάνουν τη διείσδυση σε εταιρικά δίκτυα, την κλοπή αρχείων και την κρυπτογράφηση των συσκευών. Στη συνέχεια, οι επιτιθέμενοι απαιτούν πληρωμή σε bitcoin τόσο για να επιτρέψουν ξανά την πρόσβαση όσο και για να μη δημοσιοποιήσουν τις πληροφορίες που έχουν κλέψει. Εάν τα θύματα αρνούνται να πληρώσουν, τα δεδομένα δημοσιεύονται σε δημόσια sites.
Το ransomware Nefilim εμφανίστηκε το 2020. Χρησιμοποιεί τον αλγόριθμο AES-128 για την κρυπτογράφηση αρχείων και προσθέτει την επέκταση “.NEFILIM” στα επηρεαζόμενα αρχεία. Σε κάθε φάκελο του συστήματος δημιουργούνται σημειώματα λύτρων με τίτλο “NEFILIM-DECRYPT.txt“, στα οποία τα θύματα ενημερώνονται ότι, αν δεν ξεκινήσουν διαπραγματεύσεις μέσα σε επτά ημέρες, τα κλεμμένα δεδομένα θα δημοσιοποιηθούν.
Υπάρχουν ενδείξεις ότι το Nefilim αργότερα εμφανίστηκε με άλλα ονόματα, όπως Fusion, Milihpen, Gangbang, Nemty και Karma.
Δείτε επίσης: Το Interlock ransomware πίσω από την επίθεση στη DaVita
Μεταξύ των εταιρειών που έχουν στοχοποιηθεί από το συγκεκριμένο ransomware είναι οι Toll Group, Orange και Whirlpool.
Ο Stryzhak κατηγορείται για συνωμοσία με σκοπό τη διάπραξη ηλεκτρονικής απάτης και σχετικών εγκληματικών ενεργειών, συμπεριλαμβανομένου και του εκβιασμού με τη χρήση υπολογιστών. Η επίσημη κατηγορία αποκαλύφθηκε στο ομοσπονδιακό δικαστήριο του Μπρούκλιν, όπου αναμένεται να παρουσιαστεί ενώπιον του δικαστή Robert M. Levy. Σε περίπτωση καταδίκης, ο Stryzhak ενδέχεται να αντιμετωπίσει ποινή φυλάκισης έως πέντε ετών.
Η υπόθεση με τον Stryzhak και το ransomware Nefilim αναδεικνύει τη σοβαρότητα και τη διεθνή διάσταση του κυβερνοεγκλήματος σήμερα. Η σύλληψη και έκδοσή του είναι σημαντική, όχι μόνο γιατί αποτελεί ένα χτύπημα σε μια εγκληματική οργάνωση, αλλά και γιατί στέλνει το μήνυμα πως τέτοιες ενέργειες δεν μένουν ατιμώρητες.
Είναι επίσης ανησυχητικό το γεγονός ότι τέτοιες επιθέσεις στοχεύουν εταιρείες με υψηλά έσοδα, με σκοπό να εξασφαλίσουν μεγάλα λύτρα, και ότι η διαδικασία είναι τόσο οργανωμένη, με προκαθορισμένες στρατηγικές και χρήση εργαλείων για την επιλογή στόχων. Η πρακτική της διαρροής δεδομένων όταν δεν πληρώνονται τα λύτρα εντείνει περαιτέρω την πίεση προς τα θύματα και δείχνει την ωμότητα αυτών των ομάδων.
Δείτε επίσης: Η Medusa Ransomware απαιτεί λύτρα 4 εκατ. δολάρια από τη NASCAR
Χρειάζονται συντονισμένες διεθνείς προσπάθειες, πιο αυστηρή κυβερνοασφάλεια και εκπαίδευση για την πρόληψη τέτοιων φαινομένων.
Πηγή: www.bleepingcomputer.com
