Bir Ukraynalı, Brooklyn'deki federal mahkemede, Amerika Birleşik Devletleri ve diğer ülkelerdeki kurumsal bilgisayar ağlarına karşı Nefilim fidye yazılımı dağıtımıyla bağlantılı olarak bilgisayar dolandırıcılığı yapma komplosunu kabul etti.
35 yaşındaki Artem Aleksandrovych Stryzhak, İspanya'nın Barcelona şehrinden, diğerleriyle birlikte fidye yazılımını kullanarak mağdur sistemlerine zarar vermek ve kampanyada hedef alınan şirketlerden ödeme talep etmek için komplo kurduğunu kabul etti.
Savcılar, Stryzhak'ın Haziran 2021'de fidye yazılımı yöneticileri tarafından, fidye taleplerinden elde edilen gelirlerin %20'si karşılığında Nefilim fidye yazılımı koduna erişim verildiğini belirtiyor.
Online Nefilim panelindeki hesabını kullanarak, o ve suç ortakları, saldırılara başlamadan önce, şirket büyüklüğü, gelir ve iletişim bilgileri gibi bilgileri kamuya açık çevrimiçi veri tabanlarından çekerek potansiyel mağdurları araştırdı.
Diğer fidye yazılımı kampanyalarında olduğu gibi, Nefilim saldırısı da her mağdur için benzersiz bir fidye yazılımı çalıştırılabilir dosyası üretmeyi, buna karşılık gelen bir şifre çözme anahtarı ve özelleştirilmiş bir fidye notu sağlamayı içeriyordu. Bir mağdur fidyeyi ödemeyi seçerse, komplocular şifreli dosyaları geri yüklemek için şifre çözme anahtarını sağlıyordu.
Şantaj taktiklerinin bir parçası olarak, grup, talep yerine getirilmediği takdirde, çalınan verilerin kamuya açık Corporate Leaks sitelerinde yayınlanacağıyla mağdurları tehdit etti.
Stryzhak, Haziran 2024'te İspanya'da tutuklandı ve Nisan 2025'te Amerika Birleşik Devletleri'ne iade edildi. ABD Adalet Bakanlığı'nın basın bültenine göre, Mayıs 2026'da ceza alması planlanıyor ve 10 yıla kadar hapis cezası ile karşı karşıya, ancak bir federal hakim, ABD ceza yönergeleri ve diğer faktörlere dayanarak gerçek ceza süresini belirleyecek.
ABD Dışişleri Bakanlığı’nın Transnasyonal Organize Suç Ödül Programı, Stryzhak’ın iddia edilen suç ortağı Volodymyr Tymoshchuk'ın tutuklanmasına veya mahkumiyetine yol açacak bilgi için 11 milyon dolara kadar ödül teklif etti. Tymoshchuk hâlâ firarda. Tymoshchuk ayrıca LockerGoga ve MegaCortex gibi diğer türlerle de bağlantılıdır.
Nefilim Fidye Yazılımının Tarihi ve Durumu
İlk olarak 2020 yılında görüldü, Nefilim'in Nemty fidye yazılımı ailesinin bir halef olduğu düşünülüyor. Fidye taleplerinin karşılanmaması durumunda hassas verilerin sızdırılması ve Corporate Leaks sitesi aracılığıyla kamuya açık sızıntılarla tehdit etme yoluyla ivme kazandı.
SentinelOne’ın analizine göre, Nefilim’in aktif olduğu dönemde hedef aldığı şirketler arasında yüksek gelirli şirketler ve büyük işletmeler, özellikle Amerika Birleşik Devletleri, Kanada, Avustralya ve Avrupa'da yer aldı.
Nefilim faaliyetleri 2022'den bu yana azalmış olsa da, veri hırsızlığı ve şifreleme kombinasyonu gibi taktikleri, sonrasında gelen birçok fidye yazılımı kampanyasını etkilemiştir.
Nefilim bugün o kadar aktif olmasa da ve operasyonunun bazı bölümleri kolluk kuvvetleri tarafından kapatılmış olsa da, yöntemleri hala fidye yazılımı gruplarının nasıl çalıştığını etkilemektedir. Çift şantaj ve ortaklık tabanlı saldırıların kullanımı, birçok yeni kampanya için standart bir uygulama haline gelmiştir.
