Ransomware : des anciens de DoppelPaymer et Nefilim rattrapés par la justice

La justice américaine vient de dévoiler avoir engagé des poursuites à l’encontre d’Artem Stryzhak, citoyen ukrainien. Il est accusé d’avoir participé à des opérations de cyber-extorsion avec le rançongiciel Nefilim. 

Arrêté en Espagne en juin 2024, il a été extradé vers les États-Unis le 30 avril. Selon l’acte d’accusation, Artem Stryzhak a obtenu accès au code de Nefilim en juin 2021, en échange de 20 % des profits des rançons. 

Le ransomware Nefilim faisait toutefois déjà parler de lui en 2020. Au début du mois de mai de cette année-là, les analystes des SentinelLabs, de SentinelOne, s’étaient penchés sur Nefilim, présenté comme un successeur de Nemty. « La relation exacte entre les deux acteurs est moins que claire », précisaient-ils alors, tout en relevant que Nefilim, apparu en mars 2020, « partage une portion substantielle de code avec Nemty ».

Ce dernier avait fait quant à lui son apparition en août 2019, « sous la forme d’un programme d’affiliation public, qui est depuis devenu privé ». Nefilim a notamment été utilisé contre Orange et SPIE.

En Moldavie, les officiers du Centre de lutte contre la cybercriminalité et ceux de la Direction des poursuites pénales, conjointement avec les autorités judiciaires des Pays-Bas, ont mené une opération internationale conjointe, qui s’est soldée par l’arrestation d’un citoyen étranger, soupçonné d’avoir commis de graves crimes informatiques à l’étranger.

L’homme de 45 ans en question séjournait temporairement en République de Moldavie. Il est recherché internationalement pour avoir été impliqué dans des cyberattaques avec rançongiciel contre des entreprises basées aux Pays-Bas.

Dans l’un des cas, il aurait notamment organisé la cyberattaque contre l’Organisation néerlandaise pour la recherche scientifique (NWO), début février 2021. Elle avait été revendiquée un peu moins de trois semaines après sa survenue. Elle aurait causé un préjudice matériel d’environ 4,5 millions d’euros.

Le 6 mai 2025, les forces de l’ordre ont effectué des perquisitions au domicile et dans la voiture du suspect, où des preuves pertinentes concernant la commission des crimes ont été découvertes et saisies : des fonds d’une valeur de 84 800 euros, un portefeuille électronique, deux ordinateurs portables, un téléphone mobile, une tablette, 6 cartes bancaires, 2 dispositifs portables de stockage de données et 6 cartes mémoire.

LeMagIT a comptabilisé et identifié 145 victimes de DoppelPaymer à travers le monde en 2020, et 64 en 2021, jusqu’au mois de mai. Grief (83 victimes identifiées) et Entropy (8 victimes identifiées) sont considérés comme des émanations du groupe ou son rhabillage. 

Le groupe est notamment à l’origine des cyberattaques contre Manutan, l’Afpa, la ville de Mitry-Mory et Roger Martin, en France, ou encore Compal et Foxconn. Fin février 2023, une action coordonnée des forces de l’ordre a débouché sur des perquisitions et les interpellations des « principaux membres » du groupe.