متهم اوکراینی به‌عنوان مغز متفکر باج‌افزار تحت پیگرد آمریکا و اروپا

وزارت دادگستری ایالات متحده (DOJ) کیفرخواستی علیه ولودیمیر ویکتوروویچ تیموشچوک، تبعه اوکراین، منتشر کرده است. او با نام‌های مستعاری مثل deadforz، Boba، msfv و farnetwork شناخته می‌شود و به اداره کمپین‌های باج‌افزاری LockerGoga، MegaCortex و Nefilim بین دسامبر ۲۰۱۸ تا اکتبر ۲۰۲۱ متهم است.

جزئیات اتهامات

• حملات او بیش از ۲۵۰ شرکت در آمریکا و صدها سازمان دیگر در کشورهایی از جمله فرانسه، آلمان، هلند، نروژ و سوئیس را هدف قرار داده است.

• این عملیات باعث اختلال گسترده در کسب‌وکارها، رمزگذاری داده‌ها و خسارات مالی سنگین شده است.

• طبق پرونده قضایی، تیموشچوک و همدستانش باج‌افزار را برای هر قربانی به‌صورت اختصاصی سفارشی‌سازی می‌کردند و کلیدهای رمزگشایی یکتا تولید می‌کردند.

• در مواردی که قربانیان توانستند نسخه‌های قدیمی‌تر را رمزگشایی کنند، او فوراً نسخه‌های جدیدتری از باج‌افزار را منتشر می‌کرد.

همدستان و دستگیری‌ها

• آرتم الکساندروویچ استریژاک، دیگر تبعه اوکراین که در کمپین Nefilim دخیل بود، در مه ۲۰۲۵ از اسپانیا به آمریکا استرداد شد.

• بخشی از این باند قبلاً در اوکراین بازداشت شده‌اند. تحقیقات پلیس اروپا نشان داد که شبکه دارای سلسله‌مراتب مشخصی بوده است: نویسندگان کد مخرب، مجریان نفوذها، و کسانی که پول‌ها را تطهیر می‌کردند.

شیوه‌های حمله

طبق گزارش یوروپل، نفوذها از طریق تکنیک‌هایی چون:

• Brute force برای شکستن پسوردها،

• SQL Injection،

• ارسال ایمیل‌های فیشینگ با ضمیمه‌های آلوده،
  انجام می‌شد.

پس از ورود به شبکه، مهاجمان برای مدت طولانی مخفی می‌ماندند و دسترسی خود را با ابزارهایی مثل TrickBot، Cobalt Strike و PowerShell Empire گسترش می‌دادند تا قبل از اجرای حمله، حداکثر سیستم‌ها را آلوده کنند.

واکنش اروپا و آمریکا

• یوروپل تیموشچوک را به فهرست فراریان تحت تعقیب اروپا اضافه کرده و برای اطلاعات معتبر درباره محل اختفای او تا ۱۰ میلیون دلار پاداش تعیین کرده است.

• وزارت خارجه آمریکا هم از طریق برنامه Transnational Organized Crime Rewards تا ۱۱ میلیون دلار برای اطلاعات منجر به مکان‌یابی، دستگیری یا محکومیت او پیشنهاد داده است.

• او همچنین متهم به توطئه برای ارتکاب کلاهبرداری، آسیب عمدی به رایانه‌های حفاظت‌شده، دسترسی غیرمجاز و تهدید به افشای اطلاعات محرمانه است.

حملات شاخص

یوروپل تیموشچوک را مسئول حمله باج‌افزاری ۲۰۱۹ علیه شرکت آلومینیوم نروژی Norsk Hydro معرفی کرده و او را یک هدف اولویت‌دار برای نیروهای بین‌المللی اجرای قانون دانسته است.