Les USA et la Corée du Sud lancent une alerte sur des gangs de rançongiciels de Corée du Nord

Des gangs de rançongiciels parrainés par l’État nord-coréen ciblent des hôpitaux et d’autres organisations d’infrastructures critiques, mettent en garde les forces de l’ordre et les agences de renseignement américaines et sud-coréennes.

« Les agences en question estiment qu’un montant indéterminé de revenus provenant de ces opérations en crypto-monnaie soutient les priorités et les objectifs nationaux de la RPDC (République populaire démocratique de Corée), y compris les cyberopérations ciblant les gouvernements des États-Unis et de la Corée du Sud », indique l’alerte publiée jeudi dernier.

« Les cibles spécifiques incluent les réseaux d’information du ministère de la Défense et les réseaux membres de la base industrielle de la défense. Les IDC [indicateurs de compromission] de ce produit devraient être utiles aux secteurs précédemment ciblés par les cyberopérations de la RPDC (par exemple, le gouvernement américain, le ministère de la Défense et la base industrielle de la défense). Les agences auteurs découragent fortement le paiement de rançons, car cela ne garantit pas que les fichiers et les enregistrements seront récupérés et peut entraîner des risques de sanctions. »

Le rapport comprend les dernières tactiques, techniques et procédures (TTP) et les indicateurs de compromission (IDC) utilisés par les attaquants basés en Corée du Nord. Parmi les attaques les plus récentes figurent les tentatives d’exploitation d’applications non corrigées avec la vulnérabilité Apache Log4J2 et les appareils SonicWall non corrigées.

Les attaquants nord-coréens sont connus pour cacher d’où ils viennent, ajoute le rapport, y compris en prétendant parfois être d’autres groupes de rançongiciels, tels que le gang REvil.

L’alerte est une mise à jour d’un avertissement du 6 juillet 2022 émis par les agences américaines de renseignement et d’application de la loi, notamment la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et la NSA.

Ce rapport a noté l’utilisation par des groupes nord-coréens de la souche Maui de rançongiciel. Le nouveau rapport ajoute que ces groupes utilisent également une souche appelée H0lyGhost, décrite par Microsoft dans un rapport du 14 juillet 2022.

Ce dernier rapport survient la même semaine où l’Associated Press a rapporté qu’un panel des Nations Unies a conclu que des pirates nord-coréens travaillant pour le gouvernement ont volé des actifs virtuels, y compris des crypto-monnaies et de la propriété intellectuelle, dont la valeur est estimée entre 630 millions de dollars et plus d’un milliard de dollars.

« 2022 a été une année record pour le vol d’actifs virtuels en RPDC », a déclaré l’AP citant le rapport. En avril 2022, les États-Unis ont lié des pirates informatiques soutenus par la Corée du Nord au braquage de cryptage de 615 millions de dollars américains sur le jeu en ligne populaire Axie Infinity.

L’AP a déclaré que le panel avait identifié trois groupes – Kimsuky , Lazarus Group et Andariel – comme les principaux attaquants nord-coréens.

Entre février et juillet 2022, AP a cité le panel disant que le groupe Lazarus « aurait ciblé des fournisseurs d’énergie dans plusieurs États membres en utilisant une vulnérabilité » pour installer des logiciels malveillants et obtenir un accès à long terme. Il a déclaré que cela « s’aligne sur les intrusions historiques de Lazarus ciblant les infrastructures critiques et les sociétés énergétiques … pour siphonner la propriété intellectuelle exclusive ».

L’alerte États-Unis/Corée du Sud exhorte les services informatiques et de sécurité à :

  • limiter l’accès aux données en authentifiant et en chiffrant les connexions avec les services réseau (par exemple, en utilisant des certificats d’infrastructure à clé publique dans les connexions de réseau privé virtuel (VPN) et de sécurité de la couche de transport (TLS), les dispositifs médicaux de l’Internet des objets (IoT) et la santé électronique système d’enregistrement) ;
  • mettre en œuvre le principe du moindre privilège en utilisant des comptes d’utilisateur standard sur les systèmes internes au lieu de comptes administratifs, qui accordent des privilèges d’administration système excessifs ;
  • désactiver les interfaces de gestion des périphériques réseau non sécurisées ou inutiles, telles que Telnet, SSH, Winbox et HTTP, pour les réseaux étendus (WAN), et les sécuriser avec des mots de passe et un cryptage forts lorsqu’ils sont activés ;
  • protéger les données stockées en masquant le numéro de compte permanent (NCP) lorsqu’il est affiché et en le rendant illisible lorsqu’il est stocké – par le biais de la cryptographie, par exemple ;
  • sécuriser les pratiques de collecte, de stockage et de traitement des informations personnelles identifiables (IPI) et des informations de santé protégées (ISP) en stockage et en transit à l’aide de technologies telles que TLS. (Stockez uniquement les données personnelles des patients sur des systèmes internes protégés par des pare-feu et assurez-vous que des sauvegardes complètes sont disponibles) ;
  • mettre en œuvre et appliquer la segmentation du réseau multicouche, les communications et les données les plus critiques reposant sur la couche la plus sécurisée et la plus fiable ;
  • et utiliser des outils de surveillance pour observer si les appareils IdO se comportent de manière erratique en raison d’un compromis.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Indigo refuse de payer la rançon au gang LockBit

Indigo Books & Music ne paiera pas le gang de rançongiciels LockBit pour les données volées le mois dernier, selon un reportage. 

Veeam tient parole avec son programme de garantie contre les rançongiciels

La grande nouvelle lors du lancement mardi dernier par Veeam Software de ce que la société a simplement appelé la nouvelle plate-forme de données Veeam n'était pas l'introduction de plus de 500 nouvelles fonctionnalités, mais le fait que l'édition Premium inclut désormais un programme de garantie qui couvre la récupération des données en cas d'une attaque de rançongiciel vérifiée.

Balado Hashtag Tendances, 9 février 2023 — Rançongiciel sur des serveurs VMware, panne d’Outlook, coupures chez Dell et Musk non responsable

Cette semaine : Des serveurs VMware touchés par un rançongiciel, panne majeure de Outlook.com, coupures de postes chez Dell et Elon Musk exonéré par la Securities and Exchange Commission.

Les administrateurs de systèmes industriels avisés de restreindre l’accès physique à certains automates Siemens

Les sites industriels utilisant des automates programmables (AP) de la série S7-1500 connectés au réseau de Siemens sont avisés d'isoler physiquement les appareils après la découverte de vulnérabilités graves.

La plate-forme développement et exploitation CircleCI exhorte les utilisateurs à faire la rotation des codes secrets

Les développeurs d'applications utilisant la plate-forme d'intégration continue CircleCI sont invités à faire la rotation de tous les codes secrets – y compris les mots de passe, les clés d’API et les certificats numériques – stockés dans le système, après la découverte d'un incident de sécurité non spécifié.