Il tribunale distrettuale degli Stati Uniti per il distretto orientale di New York non ha salvato un’accusa contro il volodymyr Viktorovich Tymoshchuk, un cittadino ucraino, per il suo presunto ruolo di amministratore in più schemi di ransomware. Tymoshchuk, che opera sotto alias tra cui Deadforz, Boba, MSFV e Farnetwork, affrontano accuse relative a Lockergoga, MegaCortex e Nefilim Ransomware che hanno preso di mira centinaia di aziende in tutto il mondo.
Volodymyr Tymoshchuk Ransomware Operations mira a 250 società statunitensi e centinaia a livello globale
Secondo i documenti del tribunale, Tymoshchuk avrebbe utilizzato le varianti di ransomware di Lockergoga, MegaCortex e Nefilim tra dicembre 2018 e ottobre 2021 per crittografare le reti di computer in più paesi. Le sedi interessate includono il distretto orientale di New York, altre regioni statunitensi, Francia, Germania, Paesi Bassi, Norvegia e Svizzera. Tra luglio 2019 e giugno 2020, Tymoshchuk e co-cospiratori presumibilmente hanno compromesso oltre 250 compagnie vittime negli Stati Uniti e centinaia di altre varianti di Lockergoga e MegaCortex Ransomware.
File eseguibili Ransomware personalizzati assicurati dipendenza dalla vittima
Gli attacchi hanno comportato la personalizzazione di file eseguibili ransomware per ogni vittima specifica, generando chiavi di decrittografia uniche su misura per le singole reti. Questa personalizzazione ha assicurato che solo gli autori possedevano i mezzi per sbloccare i file crittografati. Gli strumenti di decrittografia standard si sono rivelati inefficaci contro questi attacchi personalizzati. Solo gli strumenti di decrittografia forniti da Tymoshchuk o altri membri delle operazioni potrebbero ripristinare i dati compromessi, tenendo efficacemente l’ostaggio di dati delle vittime fino a quando non sono state soddisfatte le richieste di riscatto.
L’intervento delle forze dell’ordine ha impedito molti attacchi
Nonostante il vasto targeting, molti tentativi di estorsione sono falliti perché le forze dell’ordine hanno notificato alle vittime che le loro reti erano state compromesse prima dello spiegamento del ransomware. Questo intervento precoce ha impedito la crittografia dei dati e i tassi di successo di attacco limitati. Il procuratore generale della recitazione Matthew R. Galeotti ha osservato che “in alcuni casi, questi attacchi hanno portato alla completa interruzione delle operazioni commerciali fino a quando i dati crittografati non potevano essere recuperati o ripristinati”.
Il ruolo dell’amministratore del ransomware nefilim è stato rivelato
Dal luglio 2020 a ottobre 2021, Tymoshchuk presumibilmente è stato uno degli amministratori del ceppo Ransomware Nefilim. In questo ruolo, ha fornito l’accesso al ransomware ad altri affiliati, tra cui il co-imputato Artem Stryzhak, che è stato estradato dalla Spagna. In cambio della fornitura di accesso a ransomware Nefilim, Tymoshchuk e altri amministratori hanno ricevuto il 20 percento dei proventi di riscatto dalle vittime, illustrando la struttura gerarchica e gli incentivi finanziari alla guida del regime.
La cooperazione internazionale porta al rilascio della chiave di decrittografia
Nel settembre 2022, uno sforzo coordinato internazionale contro Lockergoga e MegaCortex Ransomware ha portato al rilascio di tasti di decryption attraverso il “No More Ransomware Project”. Questa iniziativa ha permesso alle vittime di decifrare i computer compromessi senza pagare riscatti. Il rilascio della chiave di decrittografia ha ridotto significativamente questi ceppi di ransomware e ha fornito sollievo a numerose vittime precedentemente tenute in ostaggio dagli attacchi informatici.
Come segnalare attacchi ransomware e attività sospette
Organizzazioni e individui possono segnalare attacchi ransomware o fornire informazioni su questi criminali informatici:
- Contatta l’FBI direttamente a +1-917-242-1407,
- Informazioni via e -mail a tymotips@fbi.gov,
- Contatta l’ufficio di campo dell’FBI locale se negli Stati Uniti,
- Visita l’ambasciata americana più vicina se al di fuori degli Stati Uniti,
- Segnala immediatamente gli attacchi per aiutare a smantellare le reti di ransomware.
Ricompensa da $ 11 milioni offerti per informazioni di arresto
Il programma Transnational Crime Rewards del Dipartimento di Stato degli Stati Uniti offre fino a $ 11 milioni per informazioni che portano all’arresto e alla condanna o alla posizione di Tymoshchuk. Questo programma di ricompensa incentiva le persone con conoscenza dell’operazione ransomware per fornire assistenza. Tymoshchuk deve affrontare molteplici addebiti tra cui la cospirazione per commettere frodi, danni intenzionali ai computer protetti, accesso non autorizzato e trasmettere minacce per divulgare informazioni riservate. L’FBI continua a indagare su questo caso con la cooperazione internazionale da autorità in Francia, Repubblica Ceca, Germania, Lituania, Lussemburgo, Paesi Bassi, Norvegia, Svizzera, Ucraina, Europol ed Eurojust.
