**Cyberattaque de Ransomware sur les Hôpitaux aux États-Unis**
Les Détails de l’Acte d’Accusation du DoJ Contre le Hacker Nord-Coréen
Le ministère de la Justice des États-Unis (DoJ) a récemment dévoilé un acte d’accusation contre Rim Jong Hyok, un opérateur nord-coréen de renseignement militaire, accusé d’avoir conduit des attaques de ransomware contre des établissements de santé américains. Ce fonctionnaire est suspecté d’avoir extorqué des paiements pour financer d’autres intrusions dans des secteurs tels que la défense, la technologie et le gouvernement mondial.
Paul Abbate du FBI a dénoncé ces actions comme étant non seulement illégales mais aussi dangereuses, mettant la vie de personnes innocentes en péril. En parallèle, le département d’État américain a offert une récompense pouvant aller jusqu’à 10 millions de dollars pour toute information menant à la localisation des responsables de ces activités malveillantes.
Le groupe de hackers Andariel, auquel Hyok appartient, est connu pour ses attaques par ransomware visant des organisations au Japon et aux États-Unis, via un programme malveillant appelé Maui. Ces paiements d’extorsion ont été blanchis à travers des facilitateurs basés à Hong Kong, convertis en yuans chinois et utilisés pour acheter des serveurs privés virtuels (VPS), permettant l’exfiltration d’informations sensibles dans le domaine de la défense et de la technologie.
Portée et Impacts des Attaques de Andariel
Les cibles de cette campagne incluent des bases de l’Air Force américaine et des entrepreneurs de la défense en Corée du Sud, à Taïwan, ainsi qu’une entreprise énergétique chinoise. Une attaque notoire a permis aux hackers de détourner plus de 30 gigaoctets de données d’un contractant américain, touchant des informations techniques non classifiées relatives aux avions militaires et aux satellites.
Les autorités ont également réussi à intercepter environ 114 000 dollars de monnaies virtuelles issues des attaques de ransomware, et à saisir des comptes en ligne utilisés par les complices pour mener leurs activités malveillantes.
Le groupe Andariel, lié au Bureau de Reconnaissance Général de la Corée du Nord, a un passé de cyber-espionnage ciblant des entreprises, des gouvernements et des secteurs industriels sensibles pour acquérir des informations techniques et de propriété intellectuelle afin de poursuivre les ambitions militaires et nucléaires du régime nord-coréen. Des entités en Corée du Sud, au Japon, et en Inde figurent également parmi leurs cibles.
La NSA a déclaré que ce groupe représente une menace persistante pour divers secteurs industriels à travers le monde, et que leur espionnage est financé par des opérations de ransomware contre des entités de santé américaines.
Techniques Utilisées par les Hackers de Andariel
L’accès initial aux réseaux cibles est souvent obtenu en exploitant des vulnérabilités connues dans les applications web, permettant aux hackers de mener des actions de reconnaissance, d’énumération des systèmes de fichiers, de persistance, d’escalade de privilèges, de mouvements latéraux, et d’exfiltration de données. Ils utilisent des portes dérobées personnalisées, des trojans d’accès à distance et d’autres outils disponibles sur le marché ou en open source.
De plus, les campagnes de phishing sont couramment employées pour distribuer des logiciels malveillants via des pièces jointes dans des courriels. Ces accessoires peuvent contenir des fichiers de raccourcis Windows ou des scripts d’application HTML dissimulés dans des archives ZIP. Découvrez comment reconnaître et contrer le phishing en 2024.
Microsoft a souligné que Andariel évolue continuellement pour ajouter de nouvelles fonctionnalités à ses outils et contourner les systèmes de détection. Parmi les programmes utilisés par ce groupe, on retrouve TigerRAT, SmallTiger, LightHand, ValidAlpha, et Dora RAT, chacun ayant des capacités spécifiques pour voler des informations, télécharger des fichiers ou exécuter des commandes à distance.
Andariel, était auparavant dédié aux perturbations financières en Corée du Sud avant de se tourner vers les ransomwares à l’encontre des établissements de santé américains. Leur mission principale reste la collecte de renseignement sur les opérations militaires et technologiques étrangères.
En conclusion, Andariel n’est qu’un des nombreux groupes de hackers parrainés par l’État nord-coréen, aux côtés d’autres comme le Lazarus Group, BlueNoroff, Kimsuky et ScarCruft, tous engagés dans des activités de cyberespionnage et de génération de revenus illicites pour le régime.
Implications sécuritaires : Ce que vous devez savoir
Les attaques de ransomware par Andariel posent un risque cyber significatif pour les infrastructures critiques, notamment les hôpitaux et les entreprises de défense. Elles peuvent entraîner des perturbations dans les soins aux patients et la fuite d’informations sensibles. Les entreprises doivent être particulièrement vigilantes face à ces menaces pour éviter des conséquences graves tant financières qu’opérationnelles.
Protégez-vous : Étapes clés contre les nouvelles vulnérabilités
Pour se prémunir contre ces attaques, il est crucial de renforcer la sécurité des systèmes par des mises à jour régulières, d’utiliser des outils de détection des malwares, et de former le personnel à la reconnaissance des tentatives de phishing. La mise en place de procédures de sauvegarde rigoureuses et l’utilisation de pare-feu et de solutions VPN sécurisées sont également recommandées.
