Ένας Ουκρανός, ο Άρτεμ Αλεξάντροβιτς Στρίζακ, εκδόθηκε από την Ισπανία στις Ηνωμένες Πολιτείες για να αντιμετωπίσει κατηγορίες σχετικά με επιθέσεις ransomware που σχετίζονται με την ομάδα Nefilim. Ο 35χρονος συνελήφθη τον Ιούνιο του 2024 και φέρεται να συμμετείχε σε επιθέσεις που στοχοθέτησαν μεγάλες εταιρείες σε ΗΠΑ, Νορβηγία, Γαλλία, Ελβετία, Γερμανία και Ολλανδία από το 2021.
Οι επιθέσεις περιλάμβαναν κρυπτογράφηση δεδομένων και εκβιασμό για πληρωμές σε bitcoin. Ο Στρίζακ κατηγορείται για συνωμοσία και αν καταδικαστεί, μπορεί να αντιμετωπίσει ποινή φυλάκισης έως πέντε ετών.
Πιο αναλυτικά
Ο ύποπτος, Άρτεμ Αλεξάντροβιτς Στρίζακ, 35 ετών, συνελήφθη στην Ισπανία τον Ιούνιο του 2024 και εκδόθηκε στις ΗΠΑ στις 30 Απριλίου 2025.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ, ο Stryzhak φέρεται να συμμετείχε σε επιθέσεις ransomware που στόχευαν εταιρείες υψηλού εισοδήματος, κυρίως στις Ηνωμένες Πολιτείες, τη Νορβηγία, τη Γαλλία, την Ελβετία, τη Γερμανία και την Ολλανδία.
Τον Ιούνιο του 2021, ο Stryzhak φέρεται να έγινε συνεργάτης της επιχείρησης ransomware Nefilim με αντάλλαγμα το 20% οποιωνδήποτε πληρωμών λύτρων που προέκυψαν από επιθέσεις.
Ο Stryzhak και οι συνεργοί του ερεύνησαν πιθανούς στόχους χρησιμοποιώντας διαδικτυακές πλατφόρμες για να συλλέξουν πληροφορίες σχετικά με τα έσοδα, το μέγεθος και τα στοιχεία επικοινωνίας μιας εταιρείας. Μία από τις πιο δημοφιλείς ιστοσελίδες που χρησιμοποιούνται από συμμορίες ransomware για την έρευνα στόχων είναι το Zoominfo.
«Σε μια ανταλλαγή με τον Stryzhak τον Ιούλιο του 2021 ή περίπου, ένας διαχειριστής της Nefilim τον ενθάρρυνε να στοχεύσει εταιρείες σε αυτές τις χώρες με ετήσια έσοδα άνω των 200 εκατομμυρίων δολαρίων», αναφέρει το δελτίο τύπου του Υπουργείου Δικαιοσύνης .
Κατά τη διεξαγωγή επιθέσεων, οι θυγατρικές της Nefilim παραβιάζουν εταιρικά δίκτυα, κλέβουν δεδομένα και στη συνέχεια κρυπτογραφούν συσκευές χρησιμοποιώντας τον κρυπτογράφο ransomware. Στη συνέχεια, οι εισβολείς απαιτούν πληρωμή λύτρων σε bitcoin για να λάβουν το κλειδί αποκρυπτογράφησης και για να μην διαρρεύσουν τα κλεμμένα δεδομένα. Εάν ένα θύμα αρνηθεί να πληρώσει, οι εισβολείς δημοσιεύουν τα κλεμμένα δεδομένα στο διαδίκτυο σε ιστότοπους διαρροής δεδομένων.
Το ransomware Nefilim ξεκίνησε το 2020 , μοιράζοντας μεγάλο μέρος του κώδικά του με το ransomware Nemty. Το ransomware κρυπτογράφησε αρχεία χρησιμοποιώντας κρυπτογράφηση AES-128 και πρόσθεσε την επέκταση αρχείου “.NEFILIM” στα κρυπτογραφημένα αρχεία.
Σημειώματα λύτρων με την ονομασία “NEFILIM-DECRYPT.txt” δημιουργήθηκαν σε όλο το σύστημα αρχείων της συσκευής, προειδοποιώντας ότι τα κλεμμένα δεδομένα θα διαρρεύσουν εντός επτά ημερών εάν δεν ξεκινήσουν διαπραγματεύσεις.
Πιστεύεται ότι η Nefilim αργότερα μετονομάστηκε με άλλα ονόματα, όπως Fusion, Milihpen, Gangbang, Nemty και Karma .
Ορισμένες εταιρείες που επλήγησαν από επιθέσεις Nefilim περιλαμβάνουν την Toll Group , την Orange και την Whirlpool, σύμφωνα με την ιστοσελίδα bleepingcomputer.
Ο Στρίζακ κατηγορείται για συνωμοσία με σκοπό την απάτη και συναφείς δραστηριότητες, συμπεριλαμβανομένου του εκβιασμού, σε σχέση με υπολογιστές. Το κατηγορητήριο αποσφραγίστηκε σε ομοσπονδιακό δικαστήριο στο Μπρούκλιν, όπου ο Στρίζακ έχει προγραμματιστεί να οδηγηθεί ενώπιον του Αμερικανού δικαστή Ρόμπερτ Μ. Λέβι.
Εάν καταδικαστεί, ο Στρίζακ αντιμετωπίζει ποινή φυλάκισης έως και πέντε ετών.
