Un ressortissant ukrainien a été extradé d’Espagne vers les États-Unis pour faire face à des accusations pour avoir prétendument mené des attaques de ransomware Nefilim contre des entreprises.
Le suspect, Artem Aleksandrovych Stryzhak, 35 ans, a été arrêté en Espagne en juin 2024 et extradé vers les États-Unis le 30 avril 2025.
Selon le département américain de la Justice, Stryzhak aurait participé à des attaques de ransomware ciblant des entreprises à revenu élevé, principalement aux États-Unis, en Norvège, en France, en Suisse, en Allemagne et aux Pays-Bas.
En juin 2021, Stryzhak serait devenu une filiale de l’opération de ransomware Nefilim en échange de 20% de tous les paiements de rançon qu’il a générés à la suite d’attaques.
Stryzhak et ses co-conspirateurs ont recherché des cibles potentielles en utilisant des plateformes en ligne pour recueillir des informations sur les revenus, la taille et les coordonnées d’une entreprise. L’un des sites les plus populaires utilisés par les gangs de ransomwares pour rechercher des cibles est Zoominfo.
« Dans un échange avec Stryzhak vers juillet 2021, un administrateur de Néfilim l’a encouragé à cibler des entreprises de ces pays avec plus de 200 millions de dollars de revenus annuels », peut-on lire dans le communiqué de presse du DOJ.
Lors d’attaques, les affiliés de Nefilim violent les réseaux d’entreprise, volent des données, puis chiffrent les appareils à l’aide du chiffreur de ransomware. Les attaquants exigent ensuite un paiement de rançon en bitcoin pour recevoir la clé de déchiffrement et pour que les données volées ne soient pas divulguées. Si une victime refuse de payer, les attaquants publient les données volées en ligne sur des sites de fuite de données.
Le ransomware Nefilim a été lancé en 2020, partageant une grande partie de son code avec le ransomware Nemty. Le ransomware a crypté les fichiers à l’aide du cryptage AES-128 et a ajouté le « .Extension de fichier » NÉFILIM » pour les fichiers cryptés.
Notes de rançon nommées » NÉFILIM-DÉCRYPTER.des » sms » ont été créés dans tout le système de fichiers de l’appareil, avertissant que les données volées seraient divulguées dans les sept jours si les négociations n’étaient pas entamées.
On pense que Néfilim a ensuite été rebaptisé sous d’autres noms, notamment Fusion, Milihpen, Gangbang, Empty et Karma.
Parmi les entreprises touchées par les attaques de Nefilim figurent Toll Group, Orange et Whirlpool.
Stryzhak est accusé de complot en vue de commettre une fraude et d’activités connexes, y compris d’extorsion, en relation avec des ordinateurs. L’acte d’accusation a été descellé devant un tribunal fédéral de Brooklyn, où Stryzhak doit être traduit en justice devant le magistrat américain Robert M. Levy.
S’il est reconnu coupable, Stryzhak risque jusqu’à cinq ans de prison.