Des cybercriminels en Russie sont à l’origine d’une attaque par ransomware contre l’un des plus grands assureurs-maladie privés d’Australie qui a vu des données personnelles sensibles publiées sur le dark web, a annoncé vendredi la police fédérale australienne (AFP).
Lors d’une courte conférence de presse, le commissaire de l’AFP, Reece Kershaw, a déclaré aux journalistes que les enquêteurs connaissaient l’identité des personnes responsables de l’attaque contre l’assureur maladie Medibank, mais il a refusé de les nommer.
« L’AFP entreprend des mesures secrètes et travaille 24 heures sur 24 avec nos agences nationales et nos réseaux internationaux, y compris Interpol. C’est important parce que nous pensons que les responsables de la violation se trouvent en Russie », a-t-il déclaré.
Medibank affirme que les données volées appartiennent à 9,7 millions de clients passés et présents, dont 1,8 million de clients internationaux. Les fichiers comprennent des données sur les réclamations de santé de près d’un demi-million de personnes, dont 20 000 basées à l’étranger.
Cette semaine, le groupe a commencé à publier des tranches organisées de données clients sur le dark web, dans des fichiers avec des titres tels que good-list, naughty-list, avortements et boozy, qui comprenaient ceux qui cherchaient de l’aide pour leur dépendance à l’alcool.
Kershaw a déclaré que les renseignements de la police pointent vers un « groupe de cybercriminels vaguement affiliés » qui sont probablement responsables d’importantes violations de données dans le monde, sans citer d’exemples spécifiques.
« Ces cybercriminels fonctionnent comme une entreprise avec des affiliés et des associés qui soutiennent l’entreprise. Nous pensons également que certains affiliés peuvent se trouver dans d’autres pays », a déclaré Kershaw, qui a refusé de répondre aux questions en raison de la sensibilité de l’enquête.
Liens vers des pirates informatiques russes notoires
Des experts en cybersécurité ont déclaré que les criminels étaient probablement liés à REvil, un gang de rançongiciels russe connu pour ses attaques de grande envergure contre des cibles aux États-Unis et ailleurs, y compris le principal fournisseur international de viande JBS Foods en juin dernier.
Cette violation a mis fin à l’ensemble des opérations de transformation du bœuf aux États-Unis de l’entreprise et a incité l’entreprise à payer une rançon de 11 millions de dollars. En novembre dernier, le département d’État américain a offert une récompense de 10 millions de dollars pour les informations permettant d’identifier ou de localiser les principaux dirigeants de REvil, également connu sous le nom de groupe criminel organisé Sodinokibi.
À la mi-janvier, l’agence de presse d’État russe TASS a rapporté qu’au moins huit pirates du rançongiciel REvil avaient été arrêtés par le Service fédéral de sécurité (FSB) de Russie à la demande des États-Unis.
Ils étaient accusés d’avoir commis une « circulation illégale de paiements », un crime passible de sept ans de prison, a rapporté TASS, citant le tribunal de Tverskoi à Moscou.
En mars, le ressortissant ukrainien Yaroslav Vasinskyi, l’un des principaux suspects liés à une attaque contre le fournisseur de logiciels américain Kaseya, a été extradé de Pologne vers les États-Unis pour faire face à des accusations, selon un communiqué du ministère de la Justice.
Jeffrey Foster, professeur agrégé en études sur la cybersécurité à l’Université Macquarie, a déclaré qu’il existe un lien majeur entre le réseau REvil et le groupe soupçonné d’avoir piraté le réseau Medibank.
«Le lien le plus important est que le site Web REvil dark web redirige désormais vers ce site Web. C’est donc le lien le plus important que nous ayons entre eux et le seul lien que nous ayons entre eux », a déclaré Foster, qui surveille le blog sur lequel le groupe publie ses revendications.
« Comme la Russie a déclaré avoir arrêté et dissous REvil, il semble probable qu’il s’agisse peut-être d’un ancien membre de REvil, qui avait accès au site Web sombre pour pouvoir effectuer la redirection qui nécessite l’accès au matériel, » il a dit. « Que REvil soit revenu ou non, nous ne le savons pas. »
Comment la brèche s’est déroulée
Medibank a détecté pour la première fois une activité inhabituelle sur son réseau il y a près d’un mois. Le 20 octobre, la société a publié une déclaration indiquant qu’un « criminel » avait volé des informations de son système d’assurance maladie et d’étudiants internationaux, notamment des noms, des adresses, des numéros de téléphone et certaines données de réclamation pour les procédures et les diagnostics.
Une première demande de rançon de 10 millions de dollars (15 millions de dollars australiens) a été faite, mais la société a déclaré qu’après une consultation approfondie avec des experts en cybercriminalité, elle avait décidé de ne pas payer. Il a ensuite été abaissé à 9,7 millions de dollars – un pour chaque client concerné, selon Foster.
À l’époque, Medibank avait déclaré qu’il n’y avait qu’une « chance limitée » que le paiement de la rançon empêcherait la publication ou le retour des données à l’entreprise.
Dans sa déclaration de vendredi, Kershaw, le commissaire de l’AFP, a déclaré que la politique du gouvernement australien ne tolérait pas le paiement de rançons aux cybercriminels.
« Tout paiement de rançon, petit ou grand, alimente le modèle commercial de la cybercriminalité, mettant d’autres Australiens en danger », a-t-il déclaré.
Kershaw a déclaré que les enquêteurs du Bureau central national australien d’Interpol discuteraient avec leurs homologues russes des individus, auxquels il s’est adressé directement avec une menace de les voir inculpés en Australie.
« Aux criminels, nous savons qui vous êtes. Et de plus, l’AFP a des points importants sur le tableau de bord lorsqu’il s’agit de ramener les délinquants étrangers en Australie pour qu’ils soient confrontés au système judiciaire », a-t-il déclaré.
Plus tôt vendredi, le Premier ministre australien Anthony Albanese a déclaré qu’il était « dégoûté » par les attaques et, sans nommer la Russie, a déclaré que le gouvernement du pays d’où ils venaient devrait être tenu responsable.
« Le pays d’où proviennent ces attaques devrait également être tenu responsable des attaques dégoûtantes et de la divulgation d’informations, y compris des informations très privées et personnelles », a déclaré Albanese.
Dans un communiqué vendredi, le PDG de Medibank, David Koczkar, a déclaré qu’il était clair que le gang criminel derrière la violation « appréciait la notoriété » et qu’il était probable qu’il publierait plus d’informations chaque jour.
« La nature implacable de cette tactique utilisée par le criminel est conçue pour causer de la détresse et du mal », a-t-il déclaré. « Ce sont de vraies personnes derrière ces données et l’utilisation abusive de leurs données est déplorable et peut les décourager de se faire soigner. »
Source:
- https://edition.cnn.com/
- Unsplash