Артём Стрижак, 35-летний гражданин Украины, подозреваемый в участии в глобальной схеме программ-вымогателей Nefilim, был задержан в Испании в июне 2024 года и 30 апреля 2025 года экстрадирован в США для судебного разбирательства. По данным Минюста США, Стрижак обвиняется в сговоре с целью мошенничества и вымогательства с использованием компьютерных технологий. Он присоединился к банде, связанной с Nefilim, в середине 2021 года и получал 20–25% от суммы каждого выплаченного выкупа. Американские следователи указывают, что целью злоумышленников были преимущественно крупные компании с годовым оборотом свыше 100–200 миллионов долларов.
Эксперты отмечают, что Nefilim появился весной 2020 года как эволюция предыдущего шифровальщика Nemty. С течением времени группировка под этим именем (а позже под другими псевдонимами – Fusion, Milihpen, Gangbang, Nemty, Karma) поразила десятки компаний по всему миру. По данным мониторинговых систем, только в 2023–2024 годах Nefilim стал причиной атак по крайней мере на 43 организации.
Эксперты по безопасности, в свою очередь, напоминают о других громких атаках Nefilim последних лет и необходимости постоянно совершенствовать защиту. Они отмечают, что современные шифровальщики активно меняют названия и тактику, но принципы их работы схожи: взлом, вымогательство, угроза публичного раскрытия. Случай Стрижакa лишь подтвердил распространённость RaaS-моделей, в которых роль «креативщиков» отделена от исполнителей, а прибыль делится внутри преступного сообщества.
Источник: https://cybernews.com/cybercrime/ukrainian-hacker-arrested-nefilim-ransomware/
Как действует шифровальщик Nefilim и модель RaaS
Nefilim – типичное «программное обеспечение как услуга» (RaaS) для хакеров: администраторы вредоноса предоставляют код аффилиатам, а те получают долю от успеха. После присоединения к Nefilim Стрижак получил доступ к так называемой панели управления этого зловреда и вёл кампании от имени банды. В своей работе преступники использовали двухэтапную атаку: сначала проникали во внутренние сети компаний, похищали конфиденциальные данные, затем шифровали файлы на компьютерах жертв (алгоритмом AES-128 с добавлением расширения «.NEFILIM» к зашифрованным файлам). В каждой заражённой системе появлялся файл NEFILIM-DECRYPT.txt с требованием выкупа и предупреждением: если в течение семи дней не начать переговоры, все украденные данные будут опубликованы в открытом доступе. Таким образом, банда фактически использовала модель двойного вымогательства: шифрование и угрозу слива информации.Эксперты отмечают, что Nefilim появился весной 2020 года как эволюция предыдущего шифровальщика Nemty. С течением времени группировка под этим именем (а позже под другими псевдонимами – Fusion, Milihpen, Gangbang, Nemty, Karma) поразила десятки компаний по всему миру. По данным мониторинговых систем, только в 2023–2024 годах Nefilim стал причиной атак по крайней мере на 43 организации.
Жертвы атак и последствия для компаний
Целями Nefilim становились международные корпорации из разных отраслей. Среди известных жертв – австралийская логистическая компания Toll Group, французский телеком-оператор Orange и американский производитель бытовой техники Whirlpool. В США и Европе пострадали предприятия инженерной, авиационной, химической, страховой, строительной индустрий и другие. Атаки приводят к серьёзным потерям: компании несут многомиллионные убытки не только из-за выплат выкупа, но и из-за простоя систем, восстановления данных и репутационных потерь.- Toll Group – крупный перевозчик, удар по логистике.
- Orange S.A. – один из ведущих телеком-операторов Европы.
- Whirlpool – гигант по производству бытовой техники.
Задержание и экстрадиция Артёма Стрижак
Испанская полиция арестовала Стрижакa в июне 2024 года по запросу американских властей. После долгих процедур 30 апреля 2025 года он был экстрадирован в США. В федеральном суде Бруклина Стрижаку предъявлены обвинения в сговоре с целью мошенничества и вымогательства с использованием компьютерных технологий Арест и экстрадиция стали результатом международного взаимодействия правоохранительных органов: У.S. Attorney Джон Дурхэм поблагодарил ФБР и испанские власти за «решающий вклад» в поимку злоумышленника.Обвинения и потенциальное наказание
Стрижаку вменяются нападения на крупные компании с последующим шифрованием данных и вымогательством выкупа. Уголовное дело строится на версии, что он вступил в группировку Nefilim в июне 2021 года, предоставил банде свои технические навыки и ресурсы в обмен на долю от выкупа. В случае признания вины ему грозит до 5 лет лишения свободы. Важно отметить, что предъявленные обвинения ещё не доказаны в суде, и Стрижак считается невиновным, пока не будет приговорён.Комментарии правоохранителей и экспертов
Представители ФБР и Минюста США отметили, что дело Стрижакa подчёркивает международный характер борьбы с киберпреступностью. «Преступники, осуществляющие эти злонамеренные кибератаки, часто действуют из-за рубежа в надежде, что американская юстиция не достанет их», – заявил прокурор Джон Дурхэм. – «Экстрадиция обвиняемого и предъявленные обвинения доказывают, что они ошибаются». Сотрудник ФБР Кристофер Джонсон подчеркнул: успешная экстрадиция Стрижакa – «значительное достижение», которое посылает «чёткое сообщение»: прятаться за границей и нападать на американские компании уже нельзя.Эксперты по безопасности, в свою очередь, напоминают о других громких атаках Nefilim последних лет и необходимости постоянно совершенствовать защиту. Они отмечают, что современные шифровальщики активно меняют названия и тактику, но принципы их работы схожи: взлом, вымогательство, угроза публичного раскрытия. Случай Стрижакa лишь подтвердил распространённость RaaS-моделей, в которых роль «креативщиков» отделена от исполнителей, а прибыль делится внутри преступного сообщества.
Источник: https://cybernews.com/cybercrime/ukrainian-hacker-arrested-nefilim-ransomware/
