Le tribunal de district américain du district oriental de New York a inauguré un acte d’accusation contre Volodymyr Viktorovich Tymoshchuk, un ressortissant ukrainien, pour son rôle présumé d’administrateur dans plusieurs schémas de ransomware. Tymoshchuk, opérant sous des alias, notamment Deadforz, Boba, MSFV et Farnetwork, fait face à des charges liées aux opérations de ransomware Lockergoga, Megacortex et Nefilim qui ciblait des centaines d’entreprises dans le monde.
Opérations de ransomware Volodymyr Tymoshchuk ciblé 250 sociétés américaines et des centaines à l’échelle mondiale
Selon des documents judiciaires, Tymoshchuk aurait utilisé des variantes de ransomware Lockergoga, Megacortex et Nefilim entre décembre 2018 et octobre 2021 pour crypter les réseaux informatiques dans plusieurs pays. Les emplacements touchés comprennent le district oriental de New York, d’autres régions américaines, la France, l’Allemagne, les Pays-Bas, la Norvège et la Suisse. Entre juillet 2019 et juin 2020, Tymoshchuk et les co-conspirateurs auraient compromis plus de 250 sociétés de victimes aux États-Unis et des centaines d’autres dans le monde en utilisant des variantes de ransomware de Lockergoga et Megacortex.
Fichiers exécutables personnalisés Ransomware a assuré la dépendance aux victimes
Les attaques concernaient la personnalisation des fichiers exécutables de ransomware pour chaque victime spécifique, générant des clés de décryptage uniques adaptées aux réseaux individuels. Cette personnalisation a assuré que les auteurs possédaient les moyens de déverrouiller les fichiers cryptés. Les outils de décryptage standard se sont révélés inefficaces contre ces attaques personnalisées. Seuls les outils de décryptage fournis par TymoshChuk ou d’autres membres de l’opération ont pu restaurer des données compromises, en tenant efficacement les données des victimes jusqu’à ce que les demandes de rançon soient satisfaites.
L’intervention des forces de l’ordre a empêché de nombreuses attaques
Malgré le ciblage approfondi, de nombreuses tentatives d’extorsion ont échoué parce que les forces de l’ordre ont informé les victimes que leurs réseaux avaient été compromis avant le déploiement des ransomwares. Cette intervention précoce a empêché le chiffrement des données et les taux de réussite des attaques limitées. Le procureur général adjoint par intérim Matthew R. Galeotti a noté que « dans certains cas, ces attaques ont entraîné la perturbation complète des opérations commerciales jusqu’à ce que les données cryptées puissent être récupérées ou restaurées ».
Rôle d’administrateur du ransomware Nefilim révélé
De juillet 2020 à octobre 2021, Tymoshchuk aurait été l’un des administrateurs de la souche des ransomwares Nefilim. Dans ce rôle, il a fourni un accès aux ransomwares à d’autres affiliés, notamment le co-défendeur Artem Stryzhak, qui a été extradé d’Espagne. En échange de l’accès aux ransomwares Nefilim, Tymoshchuk et d’autres administrateurs ont reçu 20% du produit de la rançon des victimes, illustrant la structure hiérarchique et les incitations financières à l’origine du programme.
La coopération internationale mène à la libération de clé de décryptage
En septembre 2022, un effort international coordonné contre Lockergoga et Megacortex ransomware a entraîné la publication de clés de décryptage via le « projet plus de ransomware ». Cette initiative a permis aux victimes de décrypter des ordinateurs compromis sans payer de rançon. La version de la clé de décryptage a considérablement réduit l’efficacité de ces souches de ransomware et a soutenu de nombreuses victimes auparavant détenues en otage par les cyberattaques.
Comment signaler les attaques de ransomwares et l’activité suspecte
Les organisations et les particuliers peuvent signaler des attaques de ransomwares ou fournir des informations sur ces cybercriminels:
- Contactez le FBI directement au + 1-917-242-1407,
- Envoyer des informations par e-mail à tymotips@fbi.gov,
- Contactez votre bureau de terrain du FBI local si aux États-Unis,
- Visitez l’ambassade des États-Unis la plus proche en dehors des États-Unis,
- Signaler les attaques immédiatement pour aider à démanteler les réseaux de ransomware.
Récompense de 11 millions de dollars offerte pour les informations d’arrestation
Le programme de récompense du crime organisé du Département d’État américain offre jusqu’à 11 millions de dollars pour des informations menant à l’arrestation et à la condamnation ou à la condamnation de Tymoshchuk. Ce programme de récompense incite les personnes ayant une connaissance de l’opération de ransomware à fournir une assistance. Tymoshchuk fait face à plusieurs accusations, y compris le complot en vue de commettre une fraude, des dommages intentionnels aux ordinateurs protégés, un accès non autorisé et la transmission de menaces pour divulguer des informations confidentielles. Le FBI continue d’enquêter sur cette affaire avec la coopération internationale des autorités en France, en République tchèque, en Allemagne, en Lituanie, au Luxembourg, aux Pays-Bas, en Norvège, en Suisse, en Ukraine, en Europol et en Eurojust.
