Ảnh minh họa. Kaspesky

Stryzhak, 35 tuổi, bị bắt khi đang cư trú tại Barcelona (Tây Ban Nha). Đối tượng này đã thừa nhận hành vi gian lận máy tính trong khuôn khổ chiến dịch ransomware Nefilim.

Vụ án mã độc Nefilim và tình trạng pháp lý hiện nay

Stryzhak mang quốc tịch Ukraine, bị cáo buộc liên quan đến cuộc điều tra đang diễn ra đối với Nefilim, một mô hình mã độc cho thuê "ransomware-as-a-service" (RaaS) được sử dụng nhằm mục đích chiếm đoạt tài chính, xuất hiện ít nhất từ năm 2020.

Đối tượng bị bắt vào tháng 6/2024, sau đó bị dẫn độ từ Tây Ban Nha sang Mỹ vào ngày 30/4/2025. Phiên tuyên án dự kiến diễn ra vào ngày 6/5/2026, với mức án có thể lên tới 10 năm tù.

Cơ quan chức năng cũng xác định còn một nghi phạm cấp cao khác trong đường dây Nefilim hiện vẫn đang bỏ trốn. Bộ Ngoại giao Mỹ, thông qua Chương trình treo thưởng tội phạm có tổ chức xuyên quốc gia, đã đưa ra mức thưởng lên tới 11 triệu USD cho thông tin dẫn đến việc bắt giữ đối tượng này.

Vụ án là kết quả của sự phối hợp giữa các công tố viên Mỹ, FBI, lực lượng thực thi pháp luật Tây Ban Nha cùng các cơ quan tư pháp quốc tế. Đây là một phần trong chiến dịch dài hạn nhằm trấn áp các nhóm ransomware xuyên biên giới thông qua bắt giữ, dẫn độ và truy tố hình sự.

Hoạt động phạm tội của nhóm ransomware Nefilim

Theo tài liệu điều tra, vào năm 2021, các quản trị viên phần mềm độc hại Nefilim đã cấp cho Stryzhak quyền truy cập vào nền tảng điều khiển ransomware, còn gọi là “bảng điều khiển”, để đổi lấy tỷ lệ phần trăm từ số tiền tống tiền thu được.

Thông cáo của Bộ Tư pháp Mỹ (DOJ) cho biết, nhóm Nefilim ưu tiên nhắm mục tiêu vào các doanh nghiệp tại Mỹ, Canada và Australia.

“Khoảng tháng 7/2021, một quản trị viên Nefilim đã khuyến khích Stryzhak tấn công các công ty tại những quốc gia này, đặc biệt là các doanh nghiệp có doanh thu hằng năm trên 200 triệu USD”, DOJ nêu rõ.

Thông qua “bảng điều khiển”, Stryzhak triển khai mã độc ransomware, đánh cắp dữ liệu và mã hóa hệ thống của nạn nhân để tống tiền. Các mục tiêu được lựa chọn dựa trên quy mô doanh nghiệp, doanh thu và vị trí địa lý. Sau khi xâm nhập mạng nội bộ, nhóm sẽ xác định mức tiền chuộc cụ thể cho từng nạn nhân.

Mỗi cuộc tấn công sử dụng mã ransomware và khóa giải mã riêng biệt. Các thông báo tống tiền thường đe dọa công bố dữ liệu bị đánh cắp trên các trang web công khai mang tên “Corporate Leaks”, do các quản trị viên Nefilim vận hành.

“Nếu nạn nhân chấp nhận trả tiền chuộc, các đối tượng sẽ cung cấp khóa giải mã, cho phép khôi phục các tệp dữ liệu bị ransomware khóa”, thông cáo DOJ cho biết.

Vụ án Nefilim diễn ra sau nhiều chiến dịch truy quét tội phạm mạng xuyên quốc gia gần đây, trong đó có chiến dịch quy mô lớn tại châu Âu nhằm triệt phá các trung tâm lừa đảo viễn thông hoạt động từ Ukraine.

An Lâm (Theo TechNadu)