Han kalder sig Deadforz. Men Interpol jagter ham som Volodymyr Tymoshchuk. 28 år, brune øjne og hår, ukrainsk, og nu med en dusør på ti millioner dollar på hovedet.
Mistænkt for blandt andet at stå bag det brutale ransomware-angreb mod Norsk Hydro, der kostede selskabet op mod en halv milliard kroner.
Myndighederne mener, at han var hjernen bag et af de mest brutale ransomware-angreb i nyere europæisk historie mod industrikæmpen Norsk Hydro med knap 32.000 ansatte.
Et angreb, der kostede selskabet op mod en halv milliard kroner, og lammede produktionen globalt. Også i Danmark, hvor direktøren dengang måtte sende medarbejdere hjem og kopiere ordrer på USB-stik.
"Vi løber rundt med USB-stik fra computer til computer for at flytte informationer rundt i forsyningskæden. Det gør det selvfølgelig tungt at skulle gøre manuelt, men vi producerer," sagde den danske Hydro-direktør Ole Thisted til Computerworld i 2019.
Angreb savannens største dyr
Det amerikanske justitsministerium beskriver, hvordan Volodymyr Tymoshchuk fra 2018 til 2020 stod i spidsen for den såkaldte LockerGoga-operation og senere også Nefilim-varianten, der blev drevet som et regulært kriminelt franchise.
U.S. Attorney Joseph Nocella kalder Tymoshchuk en “serial ransomware criminal”, der skræddersyede sine angreb mod industrikæmper og sundhedsinstitutioner med årlige omsætninger over 100 millioner dollar.
Når ét værktøj blev knækket, udviklede han et nyt.
“I nogle tilfælde måtte hele virksomheder lukke ned, indtil de kunne genskabe eller dekryptere deres data,” udtalte Matthew Galeotti, fungerende viceanklager i forbindelse med tiltalen, som blev offentliggjort i maj 2024.
LockerGoga alene blev brugt til at angribe franske Altran, amerikanske Hexion og Momentive og anslås at have forvoldt over 700 millioner kroner i skade alene.
Ifølge anklagen leverede han værktøjerne og tog sin andel af udbyttet, mens lokale ‘filialer’ - herunder Artem Stryzhak, der nu venter på at blive stillet for retten i New York - stod for selve afpresningen.
En del af en større operation mod ukrainske hackere
Ved tidligere anholdelser har politiet beslaglagt både luksusbiler og kontanter. Men Volodymyr Tymoshchuk er stadig på fri fod. Han står nu øverst på FBI og Europols liste over mest eftersøgte cyberkriminelle.
Tymoshchuk er angiveligt en del af en større kriminel organisation, som europæiske myndigheder nu forsøger at få skovlen under.
Ifølge anklagemyndigheden forsøgte han at angribe over 250 virksomheder i USA alene, men blev i flere tilfælde forhindret, fordi efterretningstjenester nåede at advare ofrene, inden ransomwaren blev udløst.
I slutningen af 2023 blev en 32-årig bagmand og flere af hans medskyldige anholdt i en stor koordineret aktion i Ukraine. Her deltog politienheder fra syv lande inklusiv Norge, Tyskland, USA og Frankrig, som gennemførte ransagninger på 30 adresser.
Gruppen forbindes med angreb mod 1.800 organisationer i 71 lande, herunder store industrivirksomheder, sundhedsinstitutioner og infrastrukturselskaber. De kriminelle brugte en bred palet af angrebsteknikker: brute force, SQL-injektioner og phishing-mails for at trænge ind i netværkene.
Ofte lå de skjult i systemerne i ugevis eller måneder, før de aktiverede deres ransomware – blandt andet LockerGoga, MegaCortex, Dharma og HIVE.
Ifølge Eurojust har angrebene påført virksomheder tab for flere hundrede millioner euro.
