볼로디미르 티모슈추크는 미국에서만 250개 기업을 마비시킨 랜섬웨어의 배후로 지목되고 있다.
미국은 일련의 랜섬웨어 사이버 범죄에 연루된 혐의를 받는 우크라이나인 볼로디미르 티모슈추크(Volodymyr Tymoshchuk)에게 현상금 1,100만 달러를 걸었다. 티모슈추크는 지난 3년간 합계 180억 달러가 도난당하는 데 주도적으로 연루된 혐의로 심각한 연방 기소에 직면해 있다. 그가 연루된 공격은 2018년 12월부터 2021년 10월까지 활발했던 MegaCortex, LockerGoga, Nefilim 공격 등이다. 2019년에 보도된 MegaCortex 공격은 윈도우 암호를 변경하고 호스트 컴퓨터의 파일을 암호화하며, 몸값이 지불되지 않을 경우 민감한 파일을 공개하겠다고 위협하는 수법이었다. 미국 법무부(Justice Department)가 발표한 성명에서 조지프 노셀라 주니어(Joseph Nocella Jr.) 미국 검사는 "티모슈추크는 블루칩 미국 회사, 의료 기관, 대규모 해외 산업 회사들을 표적으로 삼은 상습 랜섬웨어 범죄자"라고 지적했다.
티모슈추크와 LockerGoga와 관련한 가장 큰 피해 사례 중 하나는 노르웨이에 본사를 둔 신재생 에너지 기업 Norsk Hydro를 겨냥한 공격이었다. 이 공격으로 인해 170개 시설 모두가 어느 정도 영향을 받으면서 약 8,100만 달러의 피해가 발생한 것으로 보고됐다. 노셀라는 이어 "피의자는 과거 악성 코드가 복호화될 때마다 새로운 변종을 배치하여 법 집행 기관을 따돌리는 시간을 보냈다. 오늘날의 기소 내용은 더 이상 익명으로 활동할 수 없는 위험하고 만연한 랜섬웨어 행위자를 추적하고 기소하기 위한 국제적 공조를 반영한다"고 강조했다.
티모슈추크는 2019년 7월과 2020년 6월에 걸쳐 LockerGoga 및 MegaCortex 작전을 수행한 것으로 알려졌으며, 이 시기에 두 랜섬웨어 바이러스는 사실상 활동을 중단했다. 그 이후 티모슈추크는 Nefilim 랜섬웨어 변종의 설계 및 관리에도 관여했으며, 성공적인 공격을 통해 얻은 몸값 중 20%를 대가로 접근 권한을 공격자들에게 판매한 혐의를 받고 있다. The Register가 보관한 미공개 기소문에는 미국과 유럽 전역에 걸쳐 이름이 명시된 수많은 피해 기업들이 포함되어 있다. 티모슈추크는 사적 컴퓨터에 고의적으로 피해를 입히고 개인 정보를 공개하겠다고 위협한 것과 관련하여 총 7가지 혐의를 받고 있으며, 유죄 판결 시 최대 종신형에 처해질 수 있다.
소급하여 볼 때, LockerGoga/MegaCortex와 Nefilim 작전 방식은 서로 큰 차이를 보인다. 이들이 사용한 도구로는 Metasploit과 Cobalt Strike 같은 침투 테스트 소프트웨어가 있었는데, 공격자들은 이를 무기화하여 피해자 네트워크에 몇 달 동안 잠복한 것으로 알려졌다. MegaCortex는 2019년 11월에 통제 범위를 넘어섰다. 본래 기업 표적에만 사용되도록 의도된 이 랜섬웨어는 곧 특정 취약점을 가진 일반 사용자 PC로까지 확산되었다. 반면, 기소문에 따르면 Nefilim 관련자 및 관리자들은 표적을 가치가 1억 달러 이상인 회사로 한정적으로 관리했다고 명시했다 (이는 Nefilim의 전형적인 수법이 10억 달러 이상 규모의 회사였다고 당시 보도된 내용과 상반된다). 만약 티모슈추크가 미국으로 성공적으로 신병 인도된다 하더라도, 이미 신병 인도를 거친 공범 아르템 스트리자크(Artem Stryzhak)와 연루된 만큼 미국 법정 시스템에서 쉽지 않은 싸움에 직면할 것으로 예상된다.