ウクライナ国籍の男が、米国および他国の企業コンピュータネットワークに対するネフィリム・ランサムウェアの展開に関連し、コンピュータ詐欺を行う共謀罪について、ブルックリンの連邦裁判所で有罪を認めた。
スペイン・バルセロナ在住のアルテム・アレクサンドロヴィチ・ストリジャク(35)は、他者と共謀してランサムウェアを用い、被害者のシステムに損害を与え、同キャンペーンで標的となった企業から支払いを脅し取ったことを認めた。
検察によると、ストリジャクは2021年6月、身代金要求で得られる収益の20%と引き換えに、ランサムウェアの管理者からネフィリムのランサムウェアコードへのアクセスを与えられたという。
オンライン上のネフィリム「パネル」のアカウントを使い、彼と共謀者らは攻撃を開始する前に、公的なオンラインデータベースから企業規模、売上高、連絡先の詳細などの情報を取得するなどして、見込みの被害者を調査した。
他のランサムウェアキャンペーンと同様に、ネフィリムの攻撃でも被害者ごとに固有のランサムウェア実行ファイルが生成され、対応する復号鍵と、被害者に合わせた身代金要求文が用意された。被害者が身代金の支払いを選んだ場合、共謀者らは暗号化されたファイルを復元するための復号鍵を提供した。
恐喝戦術の一環として、要求が満たされない場合、盗み出したデータを一般にアクセス可能な「Corporate Leaks」サイトで公開すると被害者を脅した。
ストリジャクは2024年6月にスペインで逮捕され、2025年4月に米国へ引き渡された。米司法省(DoJ)のプレスリリースによれば、量刑言い渡しは2026年5月に予定されており、法定最高刑は懲役10年だが、実際の刑期は米国の量刑ガイドラインやその他の要因に基づき連邦判事が決定する。
米国務省の越境組織犯罪報奨金プログラムは、依然逃亡中のストリジャクの共謀者とされるヴォロディミル・ティモシュチュクの逮捕または有罪判決につながる情報に対し、最大1,100万ドルの報奨金を提示している。ティモシュチュクは、LockerGogaやMegaCortexなど、他の亜種とも関連付けられている。
ネフィリム・ランサムウェアの歴史と現状
2020年に初めて確認されたネフィリムは、Nemtyランサムウェアファミリーの後継とみられている。機密データを流出させ、要求が満たされない場合は「Corporate Leaks」サイトを通じて公開すると脅す二重恐喝の手法により勢いを得た。
SentinelOneの分析によると、活動期間を通じてネフィリムの標的には、高収益企業や大企業が含まれており、特に米国、カナダ、オーストラリア、欧州で顕著だった。
ネフィリムの活動は2022年以降低下しているものの、特にデータ窃取と暗号化を組み合わせる戦術は、その後に続く多くのランサムウェアキャンペーンに影響を与えている。
ネフィリムは現在それほど活発ではなく、運用の一部は法執行機関によって摘発されているものの、その手法は依然としてランサムウェアグループの活動に影響を与えている。二重恐喝の利用やアフィリエイト型の攻撃は、新しいキャンペーンの多くで標準的な手法となっている。
翻訳元: https://hackread.com/ukrainian-national-pleads-guilty-nefilim-ransomware/
