Un suspect ukrainien impliqué dans le tristement célèbre rançongiciel Nefilim a été extradé vers les États-Unis, où il doit répondre de graves accusations de cybercriminalité internationale.
Artem Stryzhak, 35 ans, arrêté en Espagne en 2024, a été remis aux autorités américaines le 29 avril. Il est accusé d’avoir participé à un réseau criminel utilisant le ransomware Nefilim pour extorquer des entreprises parmi les plus puissantes d’Amérique du Nord, d’Europe et d’Australie. Derrière ce nom à consonance mythologique se cache l’une des cybermenaces les plus structurées et coûteuses des dernières années.
Une cybercriminalité ciblée et lucrative
Nefilim n’est pas un rançongiciel ordinaire. Cette opération sophistiquée, active principalement entre 2020 et 2021, reposait sur un modèle d’affaires qui associait des développeurs de logiciels malveillants à des partenaires criminels. Le modèle était simple mais diablement efficace : en échange de l’accès au malware Nefilim, les affiliés comme Artem Stryzhak reversaient jusqu’à 20 % de leurs gains à ses concepteurs. Le reste leur permettait d’amasser des sommes considérables, en menaçant de publier des données volées si les rançons n’étaient pas payées.
Selon les procureurs fédéraux du district Est de New York, l’Ukrainien aurait obtenu l’accès à Nefilim en juin 2021. Ses cibles n’étaient pas choisies au hasard. On l’aurait incité à privilégier des entreprises réalisant plus de 200 millions de dollars (environ 186 millions d’euros) de chiffre d’affaires annuel, notamment aux États-Unis, au Canada et en Australie. Ce ciblage stratégique faisait de Nefilim une opération de rançongiciel redoutée, capable d’extraire des paiements bien supérieurs à ceux habituellement versés dans d’autres campagnes de ransomware plus opportunistes.
Les victimes identifiées jusqu’à présent sont nombreuses et issues de secteurs aussi variés que sensibles : aviation, chimie, ingénierie, assurance, énergie ou encore soins vétérinaires. Parmi les victimes, des entreprises françaises dont le géant pharmaceutique PharmaGroup. Ce spectre d’attaques illustre la volonté du groupe d’exploiter des maillons critiques de l’économie mondiale, en espérant faire pression sur des entreprises peu enclines à voir leur réputation entachée ou leurs activités paralysées.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Le cas Nefilim révèle un pan entier de la transformation de la cybercriminalité : celle du « ransomware-as-a-service » (RaaS), ou rançongiciel comme service. Cette approche permet aux développeurs de logiciels malveillants de proposer leur outil à des tiers, moyennant finance ou partage de gains. Artem Stryzhak serait l’un de ces « affiliés », opérateurs indépendants profitant d’un écosystème souterrain bien huilé. Le code malveillant était personnalisé pour chaque victime, et les demandes de rançon soigneusement calibrées. Une fois le paiement effectué, les malfaiteurs remettaient une clé de déchiffrement unique, censée restaurer l’accès aux fichiers verrouillés.
L’acte d’accusation révèle également que les cybercriminels utilisaient des outils pourtant légitimes pour mener à bien leurs intrusions. C’est le cas du logiciel WinSCP, destiné au transfert de fichiers sécurisé, ou encore de Cobalt Strike, une plateforme d’émulation d’attaques, largement utilisée par les professionnels de la cybersécurité… et détournée par les pirates.
« Nefilim visait les entreprises les plus robustes, pas les plus vulnérables, souligne un enquêteur. C’était une stratégie fondée sur la pression financière et la menace de la réputation.«
Ce mélange d’outils professionnels, de tactiques de piratage et d’approche commerciale a fait de Nefilim un acteur majeur dans la montée en puissance du cyber-racket industriel. Les pertes accumulées par les victimes – entre paiements de rançon et coûts de récupération – s’élèvent à plusieurs millions de dollars, selon les autorités américaines.
La justice américaine accuse aujourd’hui Artem Stryzhak de conspiration en vue de commettre une fraude et d’autres activités illicites liées à l’informatique. Si les charges sont confirmées, il pourrait faire face à de lourdes peines de prison. Il a comparu pour la première fois jeudi devant un tribunal fédéral à Brooklyn.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Les entreprises victimes, malgré les millions perdus, restent discrètes pour éviter toute publicité nuisible à leur image.
Malgré la mise hors circuit de plusieurs figures majeures du cybercrime, dont Stryzhak, les ransomwares continuent de proliférer à travers le monde. À mesure que les technologies évoluent, les cybercriminels affinent leurs méthodes, utilisant l’intelligence artificielle, les failles de sécurité logicielles ou les identifiants compromis pour infiltrer les systèmes.
Les campagnes comme Nefilim montrent également que les ransomwares ne ciblent plus uniquement des entités mal protégées ou mal préparées. Au contraire, les groupes les plus sophistiqués visent des entreprises robustes, bien défendues mais vulnérables à des attaques ciblées et socialement ingénieuses. Les dégâts ne sont pas seulement financiers : ils perturbent des chaînes logistiques, ralentissent des innovations, exposent des secrets industriels et sapent la confiance dans les infrastructures numériques.
Vers un procès exemplaire ?
Le procès à venir d’Artem Stryzhak pourrait marquer une étape importante dans la lutte contre le cybercrime. En mettant en lumière le fonctionnement interne d’une organisation comme Nefilim, les procureurs espèrent décourager d’autres opérateurs de se joindre à des programmes de ransomware en tant que service. Une condamnation sévère serait aussi un signal fort envoyé aux affiliés potentiels, souvent tentés par l’appât du gain rapide dans un monde où les criminels agissent à distance, dissimulés derrière des pare-feu et des identités fictives.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
