Un ciudadano ucraniano ha sido extraditado de España en los Estados Unidos para enfrentar cargos sobre los ataques de ransomware Nefilim contra las empresas.
El sospechoso, Artem Aleksandrovych Stryzhak, de 35 años, fue arrestado en España en junio de 2024 y extraditado a los Estados Unidos el 30 de abril de 2025.
Según el Ministerio de Justicia de los Estados Unidos, Stryzhak participó en ataques de ransomware que eran compañías de altos ingresos de CIBLAB, principalmente en los Estados Unidos, Noruega, Francia, Suiza, Alemania y los Países Bajos.
En junio de 2021, Stryzhak se habría convertido en un afiliado de la operación de ransomware Nefilim a cambio de el 20% de los pagos de rescate que él generó por los ataques.
Stryzhak y sus conspiradores han buscado posibles objetivos utilizando plataformas en línea para recopilar información sobre los ingresos, el tamaño y los datos de contacto de una empresa. Zoominfo es uno de los sitios más populares utilizados por las pandillas de ransomware para buscar objetivos.
“En un intercambio con Stryzhak en julio de 2021 o hacia esta fecha, un administrador de Nefilim lo alentó a dirigirse a empresas en estos países con más de $ 200 millones en ingresos anuales”, dice el Departamento de Justicia presione soltar.
Al hacer ataques, los afiliados de Nefilim Violent Business Networks, Fly Data, luego cifre los dispositivos utilizando el encriptador de ransomware. Luego, los atacantes requieren un pago de rescate en Bitcoin para recibir la clave de descifrado y para que no se divulguen los datos robados. Si una víctima se niega a pagar, los atacantes publican los datos robados en línea en los sitios de fuga de datos.
El ransomware Nefilim se lanzó en 2020, compartiendo una gran parte de su código con el Ransomware Nemty. Los archivos encriptados de ransomware utilizando el cifrado AES-128 y la extensión de archivo agregada “.nefilim” a archivos cifrados.
Las notas de Rançon llamadas “Nefilim-Drypt.txt” se han creado en todo el sistema de archivos del dispositivo, advirtiendo que los datos robados se divulgarían dentro de los siete días si las negociaciones no se iniciaron.
Fuente: BleepingCompute
Nefilim habría renombrado bajo otros nombres, especialmente Fusion, Milihpen, Gangbang, Nemty y Karma.
Algunas compañías atacadas por los ataques de Nefilim incluyen Toll Group, Orange and Whirlpool.
Stryzhak está acusado de conspiración para cometer fraude y actividades relacionadas, incluida la extorsión, en relación con las computadoras. La acusación no fue sellada ante el Tribunal Federal de Brooklyn, donde se planea Stryzhak para la acusación ante el juez estadounidense Robert Sr. Levy.
Si es declarado culpable, Stryzhak arriesga hasta cinco años de prisión.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.