Les USA et la Corée du Sud lancent une alerte sur des gangs de rançongiciels de Corée du Nord

Des gangs de rançongiciels parrainés par l’État nord-coréen ciblent des hôpitaux et d’autres organisations d’infrastructures critiques, mettent en garde les forces de l’ordre et les agences de renseignement américaines et sud-coréennes.

« Les agences en question estiment qu’un montant indéterminé de revenus provenant de ces opérations en crypto-monnaie soutient les priorités et les objectifs nationaux de la RPDC (République populaire démocratique de Corée), y compris les cyberopérations ciblant les gouvernements des États-Unis et de la Corée du Sud », indique l’alerte publiée jeudi dernier.

« Les cibles spécifiques incluent les réseaux d’information du ministère de la Défense et les réseaux membres de la base industrielle de la défense. Les IDC [indicateurs de compromission] de ce produit devraient être utiles aux secteurs précédemment ciblés par les cyberopérations de la RPDC (par exemple, le gouvernement américain, le ministère de la Défense et la base industrielle de la défense). Les agences auteurs découragent fortement le paiement de rançons, car cela ne garantit pas que les fichiers et les enregistrements seront récupérés et peut entraîner des risques de sanctions. »

Le rapport comprend les dernières tactiques, techniques et procédures (TTP) et les indicateurs de compromission (IDC) utilisés par les attaquants basés en Corée du Nord. Parmi les attaques les plus récentes figurent les tentatives d’exploitation d’applications non corrigées avec la vulnérabilité Apache Log4J2 et les appareils SonicWall non corrigées.

Les attaquants nord-coréens sont connus pour cacher d’où ils viennent, ajoute le rapport, y compris en prétendant parfois être d’autres groupes de rançongiciels, tels que le gang REvil.

L’alerte est une mise à jour d’un avertissement du 6 juillet 2022 émis par les agences américaines de renseignement et d’application de la loi, notamment la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et la NSA.

Ce rapport a noté l’utilisation par des groupes nord-coréens de la souche Maui de rançongiciel. Le nouveau rapport ajoute que ces groupes utilisent également une souche appelée H0lyGhost, décrite par Microsoft dans un rapport du 14 juillet 2022.

Ce dernier rapport survient la même semaine où l’Associated Press a rapporté qu’un panel des Nations Unies a conclu que des pirates nord-coréens travaillant pour le gouvernement ont volé des actifs virtuels, y compris des crypto-monnaies et de la propriété intellectuelle, dont la valeur est estimée entre 630 millions de dollars et plus d’un milliard de dollars.

« 2022 a été une année record pour le vol d’actifs virtuels en RPDC », a déclaré l’AP citant le rapport. En avril 2022, les États-Unis ont lié des pirates informatiques soutenus par la Corée du Nord au braquage de cryptage de 615 millions de dollars américains sur le jeu en ligne populaire Axie Infinity.

L’AP a déclaré que le panel avait identifié trois groupes – Kimsuky , Lazarus Group et Andariel – comme les principaux attaquants nord-coréens.

Entre février et juillet 2022, AP a cité le panel disant que le groupe Lazarus « aurait ciblé des fournisseurs d’énergie dans plusieurs États membres en utilisant une vulnérabilité » pour installer des logiciels malveillants et obtenir un accès à long terme. Il a déclaré que cela « s’aligne sur les intrusions historiques de Lazarus ciblant les infrastructures critiques et les sociétés énergétiques … pour siphonner la propriété intellectuelle exclusive ».

L’alerte États-Unis/Corée du Sud exhorte les services informatiques et de sécurité à :

  • limiter l’accès aux données en authentifiant et en chiffrant les connexions avec les services réseau (par exemple, en utilisant des certificats d’infrastructure à clé publique dans les connexions de réseau privé virtuel (VPN) et de sécurité de la couche de transport (TLS), les dispositifs médicaux de l’Internet des objets (IoT) et la santé électronique système d’enregistrement) ;
  • mettre en œuvre le principe du moindre privilège en utilisant des comptes d’utilisateur standard sur les systèmes internes au lieu de comptes administratifs, qui accordent des privilèges d’administration système excessifs ;
  • désactiver les interfaces de gestion des périphériques réseau non sécurisées ou inutiles, telles que Telnet, SSH, Winbox et HTTP, pour les réseaux étendus (WAN), et les sécuriser avec des mots de passe et un cryptage forts lorsqu’ils sont activés ;
  • protéger les données stockées en masquant le numéro de compte permanent (NCP) lorsqu’il est affiché et en le rendant illisible lorsqu’il est stocké – par le biais de la cryptographie, par exemple ;
  • sécuriser les pratiques de collecte, de stockage et de traitement des informations personnelles identifiables (IPI) et des informations de santé protégées (ISP) en stockage et en transit à l’aide de technologies telles que TLS. (Stockez uniquement les données personnelles des patients sur des systèmes internes protégés par des pare-feu et assurez-vous que des sauvegardes complètes sont disponibles) ;
  • mettre en œuvre et appliquer la segmentation du réseau multicouche, les communications et les données les plus critiques reposant sur la couche la plus sécurisée et la plus fiable ;
  • et utiliser des outils de surveillance pour observer si les appareils IdO se comportent de manière erratique en raison d’un compromis.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

De nombreuses organisations ne pensent pas être la cible de gangs de rançongiciel, selon une enquête d’OpenText

De nombreuses organisations s'inquiètent des rançongiciels mais ne pensent toujours pas qu'elles en sont une cible, selon une enquête publiée mercredi par OpenText.

Quarante-huit gouvernements s’engagent à ne pas payer les gangs de rançongiciel

Quarante-huit pays, dont le Canada et les États-Unis, ont convenu que leurs gouvernements ne devraient pas céder aux demandes des gangs de rançongiciels. La promesse est intervenue mercredi à l'issue de la troisième réunion annuelle à Washington de l'International Counter Ransomware Initiative (CRI).

MétéoMédia refuse de payer un gang de rançongiciel

La société mère de MétéoMédia affirme qu'elle n'a pas cédé aux demandes d'un groupe de rançongiciel après que la société qui fournit des services météorologiques au Canada et en Espagne eut vu ses serveurs cryptés et ses données volées et mises en ligne le mois dernier.

Les administrateurs invités à corriger rapidement les failles du serveur de transfert de fichiers WS_FTP

Un autre ensemble de vulnérabilités critiques a été découvert dans une application de transfert de fichiers, ce qui fait craindre que, si elle est exploitée avant d'être corrigée, il entraînera également un grand nombre de violations de données.

Le Centre pour la cybersécurité émet une mise en garde après qu’un groupe indien eut lancé une menace

L'autorité cybernétique du gouvernement canadien a émis un avertissement aux administrateurs informatiques du pays pour qu'ils surveillent les attaques, après qu'un groupe ou un individu prétendant être originaire de l'Inde eut émis une menace de représailles à la suite d’allégations selon lesquelles l'Inde aurait pu être à l'origine de l'assassinat d'un Canadien militant en faveur d'un État sikh indépendant.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.