Selon un communiqué du Department of Justice (Office of Public Affairs) publié le 19 décembre 2025, un ressortissant ukrainien, Artem Aleksandrovych Stryzhak, a plaidé coupable de conspiration pour fraude informatique pour son rôle dans des attaques au ransomware Nefilim visant des entreprises aux États‑Unis et à l’international.

Les documents judiciaires indiquent que le groupe a déployé le ransomware Nefilim contre des réseaux d’entreprises, causant des dommages importants. Pour chaque victime, les auteurs généraient un exécutable de rançongiciel unique, une clé de déchiffrement correspondante et une note de rançon personnalisée. En cas de paiement, ils fournissaient la clé permettant de déchiffrer les fichiers.

En juin 2021, les administrateurs de Nefilim ont donné à Stryzhak l’accès au code du ransomware en échange de 20 % de ses rançons. Il opérait via un compte sur le « panel » Nefilim. Peu après, il a demandé à un complice s’il devait changer de pseudonyme par rapport à d’autres activités criminelles, au cas où le panel « se ferait hacker par les feds ».

Les administrateurs privilégiaient des cibles aux États‑Unis, au Canada et en Australie, avec un chiffre d’affaires annuel > 100 M$, puis, dès juillet 2021, > 200 M$. Les auteurs effectuaient des recherches sur les victimes après compromission (taille, valeur, contacts) via des bases de données en ligne. Dans le cadre de l’extorsion, ils menaçaient de publier les données volées sur des sites « Corporate Leaks » gérés par Nefilim.

Stryzhak a été arrêté en Espagne en juin 2024 et extradé vers les États‑Unis le 30 avril. Il a plaidé coupable de conspiration pour fraude liée aux ordinateurs et doit être condamné le 6 mai 2026 (peine maximale 10 ans). Le Département d’État offre jusqu’à 11 M$ pour des informations menant à l’arrestation/condamnation ou à la localisation de son co‑conspirateur Volodymyr Tymoshchuk (contact: +1‑917‑242‑1407, TymoTips@fbi.gov). L’enquête est menée par le FBI Springfield (Illinois), et poursuivie par la CCIPS et le bureau du procureur du district Est de New York, avec le soutien d’autorités américaines et espagnoles. Depuis 2020, la CCIPS rapporte 180+ condamnations et plus de 350 M$ restitués aux victimes. ⚖️

TTPs observés:

  • Déploiement de ransomware avec binaire unique par victime et clé de déchiffrement associée
  • Modèle RaaS via un panel et partage de revenus (20%) avec les administrateurs
  • Ciblage d’entreprises selon seuils de revenus (≥100 M$, puis ≥200 M$) et préférence géographique (US/CA/AU)
  • Reconnaissance via des bases de données en ligne pour évaluer la valeur et les contacts
  • Double extorsion via menace de publication sur les sites « Corporate Leaks »

IOCs: aucun indicateur technique (IP, domaines, hachages) n’est fourni dans le communiqué.

Type d’article: communiqué officiel d’opération de police visant à informer du plaidoyer de culpabilité et de l’enquête en cours.

🔗 Source originale : https://www.justice.gov/opa/pr/ukrainian-national-pleads-guilty-conspiracy-use-nefilim-ransomware-attack-companies-united