Een 34-jarige Armeense staatsburger heeft in de Verenigde Staten schuld bekend aan aanklachten in verband met Ryuk-ransomware-aanvallen die organisaties in het hele land waren getarget. Aanklagers zeggen dat Karen Serobovich Vardanyan deelnam aan een samenzwering die bedrijfsnetwerken binnenbrak, ransomware inzette en slachtoffers afperste voor betalingen door cryptovaluta.
Volgens het Amerikaanse ministerie van Justitie gaf Vardanyan toe aan samenzwering en computerfraude nadat hij was uitgeleverd uit Oekraïne, waar hij in april 2025 werd gearresteerd. Aanklagers beweren dat hij verantwoordelijk was voor het verkrijgen van de eerste toegang tot de netwerken van slachtoffers voordat Ryuk-ransomware werd ingezet om servers en werkstations te versleutelen.
Gerechtelijke documenten stellen dat de aanvallen plaatsvonden tussen november 2019 en april 2020 en talrijke Amerikaanse bedrijven troffen, waaronder een technologiebedrijf gevestigd in Oregon. Onderzoekers zeggen dat de samenzweerders losgeldbetalingen van Bitcoin eisten in ruil voor het herstellen van toegang tot versleutelde systemen.
Het ministerie van Justitie beweert dat Vardanyan samenwerkte met andere leden van de criminele operatie door bedrijfsnetwerken te compromitteren en hen voor te bereiden op de inzet van ransomware. Ryuk-operators versleutelden vervolgens slachtoffersystemen en eisten grote losgeldbetalingen, wat aanzienlijke financiële verliezen en operationele verstoring veroorzaakte.
Als onderdeel van zijn pleidooiovereenkomst erkende Vardanyan zijn rol in het complot. Hij riskeert nu een maximale straf van 15 jaar in een federale gevangenis, hoewel de definitieve straf zal worden vastgesteld door een Amerikaanse districtsrechter na overweging van federale strafrichtlijnen en andere wettelijke factoren. Een datum van de strafoplegging is nog niet bekendgemaakt.
Het onderzoek werd uitgevoerd door de FBI met hulp van de Oekraïense wetshandhaving en verschillende internationale partners. Amerikaanse functionarissen zeiden dat de zaak de voortdurende samenwerking tussen landen aantoont bij het identificeren, arresteren en uitleveren van personen die ervan worden beschuldigd deel te nemen aan internationale ransomware-operaties.
Ryuk is de afgelopen jaren uitgegroeid tot een van de meest schadelijke ransomware-families, die zich richt op bedrijven, zorgverleners, overheidsinstanties en andere organisaties wereldwijd. De malware is door onderzoekers in verband gebracht met het cybercriminele ecosysteem rond de TrickBot-malware en heeft later de ontwikkeling van de Conti-ransomwareoperatie beïnvloed. De autoriteiten hebben meerdere jaren besteed aan het achtervolgen van personen waarvan wordt aangenomen dat ze aan die aanvallen deelnamen via gecoördineerde internationale onderzoeken.