Dentro il Sindacato del Ransomware Nefilim: Come un Hacker Ucraino Ha Aiutato a Colpire i Giganti Globali

Tutto è iniziato con una sola riga di codice e una promessa: il 20% di ogni riscatto, se fosse riuscito ad aiutare a violare le aziende più redditizie del mondo. Quando Artem Aleksandrovych Stryzhak, specialista IT ucraino di 35 anni, è stato arrestato in Spagna ed estradato negli Stati Uniti, aveva già contribuito a orchestrare una campagna globale di estorsione informatica che avrebbe lasciato le aziende Fortune 500 sconvolte e gli investigatori in affanno per recuperare terreno.

La dichiarazione di colpevolezza di Stryzhak, presentata venerdì in un tribunale statunitense, getta nuova luce sull’anatomia dell’operazione ransomware Nefilim - un sindacato che ha trasformato malware su misura e pressione psicologica in armi per estorcere milioni ad alcune delle aziende più ricche del mondo. Secondo i documenti del tribunale, Stryzhak si è unito a Nefilim nel giugno 2021, negoziando l’accesso al toolkit ransomware proprietario del gruppo in cambio di una redditizia quota dei profitti illeciti. La sua missione era chiara: colpire solo i pesci più grossi.

Utilizzando piattaforme come Zoominfo, Stryzhak e i suoi complici hanno profilato meticolosamente le potenziali vittime, concentrandosi su aziende con fatturato annuo superiore ai 100 milioni di dollari - soglia poi alzata a 200 milioni su richiesta di un amministratore Nefilim. Una volta all’interno di una rete, il gruppo distribuiva malware personalizzato, criptava dati critici e inviava note di riscatto su misura chiedendo il pagamento per le chiavi di decrittazione. Per le aziende esitanti, Nefilim minacciava di pubblicare i dati rubati su siti di “Corporate Leaks”, aggiungendo un incubo di pubbliche relazioni al rischio di rovina finanziaria.

La portata dell’operazione era impressionante: tra luglio 2020 e ottobre 2021, Nefilim e le sue gang affiliate, tra cui LockerGoga e MegaCortex, hanno violato centinaia di aziende in tutto il mondo. Mentre Stryzhak ora rischia fino a 10 anni di carcere, il Dipartimento di Giustizia USA continua a dare la caccia a Volodymyr Tymoshchuk, presunto mente e amministratore dietro molteplici campagne ransomware. Il nome di Tymoshchuk ora campeggia in cima alle liste dei più ricercati di FBI e UE, con una taglia multimilionaria per informazioni che portino alla sua cattura.

Il caso Nefilim sottolinea l’evoluzione dell’architettura della criminalità informatica moderna, dove i sindacati operano più come aziende che come bande criminali - esternalizzando gli attacchi, condividendo i profitti e sfruttando l’anonimato globale per sfuggire alle forze dell’ordine. Per gli investigatori, la dichiarazione di colpevolezza rappresenta una rara svolta in un mondo dove le tracce digitali spesso svaniscono con un semplice clic.

Mentre la caccia a Tymoshchuk si intensifica, la condanna di Stryzhak offre uno sguardo su un mondo sommerso dove il ransomware è un grande affare - e dove, per ogni affiliato catturato, un altro è già pronto a colpire.

WIKICROOK

• Ransomware: Il ransomware è un software dannoso che cripta o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
• Affiliato: Un affiliato è un criminale o gruppo indipendente che utilizza strumenti forniti da una più ampia organizzazione di cybercrime per lanciare attacchi, condividendo i profitti con il fornitore.
• Chiave di decrittazione: Una chiave di decrittazione è un codice speciale che sblocca i dati criptati, rendendo nuovamente leggibili file o messaggi agli utenti autorizzati.
• Estradizione: L’estradizione è il processo legale con cui un paese trasferisce un sospetto o un condannato a un altro paese affinché affronti accuse penali o sconti una pena.
• Corporate Leaks: Le corporate leaks sono pubblicazioni pubbliche di dati aziendali rubati da parte di cybercriminali, solitamente dopo che una vittima si rifiuta di pagare un riscatto.