Les États-Unis ont offert une récompense de 11 millions de dollars pour toute information permettant d'arrêter Volodymyr Tymoshchuk, un citoyen ukrainien recherché pour une série d'attaques par rançongiciel. Les enquêteurs pensent que Tymoshchuk a participé à des campagnes organisées ayant entraîné des pertes estimées à 18 milliards de dollars sur trois ans. Les procureurs américains accusent Tymoshchuk d'être un personnage clé des attaques MegaCortex, LockerGoga et Nefilim, qui ont été actives entre décembre 2018 et octobre 2021. MegaCortex fonctionnait en chiffrant les fichiers et en modifiant les mots de passe Windows, laissant aux victimes un choix : payer la rançon ou risquer de voir leurs données confidentielles exposées. L'un des incidents les plus médiatisés a été l'attaque LockerGog contre Norsk Hydro, une entreprise énergétique norvégienne. Elle a touché 170 filiales de l'entreprise. Les pertes ont été estimées à 81 millions de dollars, et l'impact de l'attaque s'est fait sentir bien après son lancement.

Le procureur du ministère américain de la Justice, Joseph Nocella Jr., a souligné que Tymoshchuk avait échappé aux forces de l'ordre pendant des années en créant régulièrement de nouvelles variantes de logiciels malveillants après le décryptage des précédentes. Les autorités américaines l'ont considéré comme une menace pour la stabilité des institutions et des entreprises internationales, des entreprises technologiques aux établissements médicaux et aux sociétés industrielles. Les enquêteurs l'accusent d'avoir supervisé les attaques LockerGoga et MegaCortex entre juillet 2019 et juin 2020, avant de se consacrer à l'administration et au développement d'une variante du rançongiciel Nefilim. Selon les conclusions de l'enquête, il aurait vendu l'accès à cet outil à d'autres groupes criminels, s'appropriant 20 % des rançons extorquées.

Les attaques impliquant LockerGoga, MegaCortex et Nefilim ont utilisé Metasploit et Cobalt Strike, des outils de test d'intrusion légitimes qui, entre les mains des cybercriminels, leur ont permis de maintenir une présence durable sur les systèmes de leurs victimes. Les enquêtes indiquent que les auteurs ont réussi à rester invisibles dans l'infrastructure de l'entreprise pendant des mois avant de commencer à chiffrer les données et à exiger une rançon. Selon l'acte d'accusation, MegaCortex a également commencé à se propager sur les ordinateurs d'utilisateurs individuels disposant de systèmes non sécurisés, tandis que Nefilim se concentrait uniquement sur les grandes entreprises. Les services de renseignement américains affirment que les cibles étaient des entreprises évaluées à au moins 100 millions de dollars, bien que des rapports antérieurs aient évoqué un plafond d'un milliard de dollars.

Tymoshchuk est accusé de sept chefs d'accusation : dommages intentionnels à des ordinateurs privés et menaces de divulgation d'informations confidentielles. S'il est reconnu coupable, il risque la réclusion à perpétuité. L'avenir de l'enquête dépend de la procédure d'extradition. Si Tymoshchuk est amené aux États-Unis, il sera jugé dans le cadre d'une affaire impliquant Artem Stryzhak, l'un de ses complices présumés, déjà extradé vers la justice américaine.