Sprawa Artema Aleksandrovych Stryzhak, obywatela Ukrainy oskarżonego o udział w serii międzynarodowych ataków ransomware, nabiera rozpędu. Po niemal roku od zatrzymania w Hiszpanii, został on 30 kwietnia 2025 roku poddany ekstradycji do Stanów Zjednoczonych. Tam stanie przed sądem federalnym w Nowym Jorku, gdzie grozi mu do pięciu lat więzienia za zarzuty związane z oszustwami komputerowymi i wymuszeniami. Według amerykańskiego Departamentu Sprawiedliwości, Stryzhak odgrywał ważną rolę w grupie związanej z operacją ransomware znaną jako Nefilim. Miał przystąpić do niej w połowie 2021 roku, działając na zasadzie tzw. partnera afiliacyjnego. Oznacza to, że przeprowadzał własne ataki w imieniu grupy w zamian za ustalony procent z okupów – w tym przypadku 20%.
Polowanie na bogate firmy
Celem ataków były przede wszystkim duże, dochodowe firmy – nie tylko w USA, ale również w Norwegii, Niemczech, Holandii, Szwajcarii i Francji. Jak ustalili śledczy, Stryzhak wraz ze wspólnikami wybierał ofiary na podstawie analizy danych dostępnych w sieci. Korzystali m.in. z popularnych platform biznesowych do zbierania informacji o rocznych przychodach firm, ich strukturze oraz danych kontaktowych. To właśnie ta metoda pozwoliła im precyzyjnie kierować ataki na firmy, które z dużym prawdopodobieństwem mogły zapłacić okup, by uniknąć przestojów, strat wizerunkowych lub wycieku danych. W jednym z przechwyconych komunikatów wewnętrznych administratorzy Nefilim mieli zachęcać Stryzhaka do celowania w firmy z przychodami przekraczającymi 200 milionów dolarów rocznie.
Szyfrowanie, okup, groźby
Schemat działania ransomware Nefilim nie odbiegał od znanych już metod cyberprzestępców, ale był wyjątkowo skuteczny. Najpierw włamywano się do sieci korporacyjnych, przejmując dane i szyfrując systemy ofiary. Na dyskach zostawała notatka z żądaniem okupu – „NEFILIM-DECRYPT.txt” – informująca, że jeśli w ciągu siedmiu dni nie dojdzie do kontaktu, dane firmy zostaną publicznie udostępnione. Atakujący żądali płatności w bitcoinach, a ich strategia opierała się na grze na czasie i strachu przed kompromitacją. Często, zanim ofiara w ogóle zorientowała się, że została zaatakowana, dane były już w posiadaniu przestępców. Jeśli firma odmawiała zapłaty, informacje trafiały do sieci, na specjalnie utworzonych portalach wyciekowych. Oprogramowanie Nefilim zadebiutowało w 2020 roku i bazowało na kodzie wcześniejszego ransomware o nazwie Nemty. Do dziś przypisuje mu się liczne ataki, m.in. na globalnego operatora logistycznego Toll Group, francuski telekom Orange oraz producenta sprzętu AGD Whirlpool. Z czasem grupa zmieniała nazwę i szyld — pojawiały się kolejne aliasy: Fusion, Milihpen, Gangbang, Karma — co pozwalało przestępcom utrzymywać działalność mimo presji organów ścigania.
Proces w USA, odpowiedzialność w Europie
Wydanie Stryzhaka to efekt współpracy transatlantyckiej służb — zatrzymano go w Hiszpanii w czerwcu 2024 roku, a ekstradycja zajęła niemal rok. Śledztwo prowadzone w USA koncentruje się na jego roli w strukturach grupy Nefilim, ale nie jest wykluczone, że to dopiero początek większego postępowania obejmującego kolejnych podejrzanych. Akt oskarżenia wobec Stryzhaka został już odpieczętowany. Mężczyzna stanie przed sędzią federalnym Robertem M. Levym w sądzie w Brooklynie. Amerykańska prokuratura nie wyklucza, że w toku procesu zostaną przedstawione dodatkowe zarzuty — w tym związane z praniem pieniędzy i organizacją zorganizowanej grupy przestępczej.
