Ransomware : un ancien de LockerGoga officiellement identifié

Volodymyr Viktorovych Tymoshchuk est ressortissant ukrainien. Né à l’automne 1996, il fêtera prochainement ses 29 ans. Il figure désormais sur la liste des personnes recherchées par la Justice européenne, à la demande de la France. Il est classé dangereux.

Selon sa fiche publique, il est accusé d’avoir participé à des « centaines » de cyberattaques avec le rançongiciel LockerGoga, causant « plus de 18 milliards de dollars de dommages dans le monde ».

Volodymyr Tymoshchuk, auquel sont attribués les pseudonymes Deadforz, Boba, Farnetwork, Msfv, et Volotmsk, rejoint ainsi Artem Stryzhak, lui aussi ressortissant ukrainien.

Artem Stryzhak est accusé d’avoir participé à des opérations de cyberextorsion avec le rançongiciel Nefilim. Arrêté en Espagne en juin 2024, il a été extradé vers les États-Unis ce 30 avril. Selon l’acte d’accusation, Artem Stryzhak a obtenu accès au code de Nefilim en juin 2021, en échange de 20 % des profits des rançons. 

Car Volodymyr Tymoshchuk est également accusé par la Justice américaine d’avoir participé à des cyberattaques avec Nefilim, en plus de LockerGoga et MegaCortex.

Selon Washington, tous deux ont « initialement développé le rançongiciel LockerGoga autour de juin 2018 et ont continué de le mettre à jour jusqu’en mars 2019. Autour d’avril 2019, les mêmes co-conspirateurs ont développé le ransomware MegaCortex ».

Volodymyr Tymoshchuk aurait « servi d’administrateur pour les opérations de rançongiciels LockerGoga et MegaCortex ». Avec des partenaires, il aurait « acquis les infrastructures informatiques pour établir les serveurs C2 [de commande et de contrôle, N.D.L.R.] utilisés pour les attaques » ayant débouché sur le déploiement de ces ransomwares.

Toujours avec des partenaires, Volodymyr Tymoshchuk aurait, entre juillet 2019 et juin 2020, « compromis les réseaux de plus de 250 entreprises victimes aux États-Unis et de centaines d’autres dans le monde ».

C’est au moins à partir du 1^er juillet 2020, et jusqu’au moins le 26 octobre 2021, que Volodymyr Tymoshchuk aurait été l’un des administrateurs de Nefilim, selon la Justice américaine.

Nefilim aurait alors fonctionné comme une franchise dont les administrateurs récupéraient 20 % des rançons versées. La Justice américaine affirme que Volodymyr Tymoshchuk contrôlait le serveur de messagerie interne à l’enseigne, sur lequel étaient également stockés « trois fichiers uniques du rançongiciel Nefilim ».

Les cibles préférées de l’enseigne ? Initialement, des entreprises aux États-Unis, au Canada ou encore en Australie, avec un chiffre d’affaires annuel de plus de 100 millions de dollars. Plus de 200 millions de dollars, à partir de juillet 2021.

En mai 2019, Sophos pointait les similarités entre LockerGoga et MegaCortex. Deux entreprises américaines du monde de la chimie, Hexion et Momentive, ont été victimes de LockerGoga, le ransomware soupçonné d’avoir frappé Norsk Hydro et Altran, début 2019. Nefilim a quant à lui été notamment utilisé contre Orange et SPIE.

Fin novembre 2023, le leader d’un groupe impliqué dans des cyberattaques avec les rançongiciels LockerGoga, MegaCortex, Dharma et Hive avait été interpellé en Ukraine, aux côtés de 4 acolytes suspectés.

Cette opération s’inscrivait dans la continuité d’une autre, en 2021. À la fin du mois d’octobre de cette année-là, Europol avait annoncé que 12 personnes avaient été identifiées et visées, soupçonnées d’avoir conduit des attaques informatiques avec rançongiciel contre plus de 1 800 victimes dans 71 pays – jusqu’à avoir touché des infrastructures critiques. Des interpellations étaient survenues le 26 octobre, en Suisse et en Ukraine.