16 сентября 2025 года британское Министерство юстиции США официально предъявило обвинения гражданину Украины Владимиру Тимощуку («deadforz», «msfv», «farnetwork»), которого следствие считает администратором сразу нескольких семейств вымогательских програм — LockerGoga, MegaCortex и Nefilim. По материалам ФБР, с июля 2019 года группировка проникла в сети более 250 компаний по всему миру, шифровала серверы и резервные копии, а затем требовала многомиллионные выкупы, угрожая публикацией похищенных данных. В период с июля 2020 по октябрь 2021 года Тимощук, предполагается, администрировал инфраструктуру Nefilim, предоставляя доступ партнёрам RaaS и получая до 20 % от выкупов.
Американские власти отмечают, что вскрытая схема построена на агрессивном подборе учётных данных, злоупотреблении протоколами удалённого доступа и последующем перемещении по сети жертвы. После шифрования злоумышленники публиковали небольшую часть данных на лик‑сайте, чтобы усилить давление. В рамке международной операции уже задержаны несколько соучастников в Европе, но Тимощук пока числится в розыске. Госдепартамент США объявил вознаграждение до 11 миллионов долл
Властям важно подчеркнуть, что атаки этих семейств вымогателей отличались не только масштабом, но и степенью подготовленности. Злоумышленники подбирали учетные данные с помощью фишинга и перебора, затем закреплялись в сети, развертывали бэкдоры и удаляли резервные копии, чтобы повысить шансы на получение выкупа. Судебные материалы показывают, что на взломы уходили недели и месяцы, а команды занимались параллельными операциями, координируя работу через теневые площадки.
В 2022 году по инициативе международного консорциума No More Ransom были опубликованы бесплатные утилиты для дешифрования для многих жертв LockerGoga и других семейств. Эксперты призывают не платить выкуп и обращаться за помощью к правоохранительным органам и специализированным центрам по реагированию. Как правило, оплата выкупа лишь финансирует дальнейшую преступную активность и не гарантирует полного восстановления данных.
Для бизнеса это сигнал укреплять киберустойчивость: внедрять многофакторную аутентификацию для администраторских доступов, сегментировать сети и регулярно создавать офлайн-бэкапы, которые невозможно удалить из скомпрометированной сети. Не менее важно иметь планы реагирования и проводить учебные тренировки, чтобы в случае атаки быстро локализовать заражение, уведомить пользователей и восстановить работу.
Материал подчёркивает, что современные вымогатели всё чаще прибегают к двойному вымогательству: помимо шифрования данных, они угрожают публикацией похищенной информации, если выкуп не будет выплачен. Поэтому своевременная установка обновлений, обучение сотрудников основам цифровой гигиены и сотрудничество с правоохранительными органами остаются ключевыми мерами по противодействию киберугрозам.аров за информацию, которая приведёт к его задержанию и осуждению.
