Images Getty | Bill Hinton
Trois ressortissants iraniens accusés d’avoir piraté des réseaux informatiques basés aux États-Unis ont envoyé des demandes de rançon aux imprimeurs d’au moins certaines de leurs victimes, selon un acte d’accusation non scellé aujourd’hui. Les demandes de rançon auraient recherché des paiements en échange de clés de déchiffrement BitLocker que les victimes pourraient utiliser pour retrouver l’accès à leurs données.
Les trois accusés sont toujours en liberté et hors des États-Unis, a indiqué le DOJ.
“La campagne de piratage des accusés a exploité les vulnérabilités connues des appareils réseau et des applications logicielles couramment utilisés pour accéder et exfiltrer les données et les informations des systèmes informatiques des victimes”, a déclaré le ministère américain de la Justice dans un communiqué de presse. Les accusés Mansour Ahmadi, Ahmad Khatibi, Amir Hossein Nickaein “et d’autres ont également mené des attaques de cryptage contre les systèmes informatiques des victimes, refusant aux victimes l’accès à leurs systèmes et données à moins qu’une rançon ne soit versée”.
L’acte d’accusation devant le tribunal de district américain du district du New Jersey décrit quelques incidents au cours desquels des demandes de rançon ont été envoyées à des imprimeurs sur des réseaux piratés. Dans un cas, un message imprimé envoyé à un cabinet comptable aurait déclaré : “Nous vendrons vos données si vous décidez de ne pas payer ou si vous essayez de les récupérer”.
Dans un autre incident, l’acte d’accusation a déclaré qu’un refuge pour violence domestique basé en Pennsylvanie piraté en décembre 2021 a reçu un message sur ses imprimantes qui disait : “Bonjour. Ne prenez aucune mesure pour récupérer. Vos fichiers peuvent être corrompus et irrécupérables. Contactez-nous simplement. .”
Khatibi a ensuite “envoyé un e-mail à un représentant du refuge contre la violence domestique demandant le paiement d’un bitcoin”, selon l’acte d’accusation. Le refuge a finalement versé l’équivalent de 13 000 dollars au portefeuille Bitcoin du pirate, selon l’acte d’accusation, ajoutant que Khatibi “a ensuite fourni des clés de déchiffrement pour permettre au refuge contre la violence domestique de restaurer l’accès à ses systèmes et à ses données”.
Avant d’envoyer la demande de rançon, “un membre du complot a obtenu un accès non autorisé au système informatique du refuge contre la violence domestique et a lancé une attaque de cryptage en activant BitLocker, refusant ainsi au refuge contre la violence domestique l’accès à certains de ses systèmes et données”, indique l’acte d’accusation. . BitLocker est un outil de chiffrement utilisé dans Windows.
« VOUS DEVEZ NOUS CONTACTER IMMÉDIATEMENT »
Les victimes comprenaient de petites entreprises, des agences gouvernementales, des programmes à but non lucratif, des institutions éducatives et religieuses et “de multiples secteurs d’infrastructures critiques, y compris des centres de soins de santé, des services de transport et des fournisseurs de services publics”, indique le communiqué de presse du DOJ. Les trois pirates et co-conspirateurs inculpés “ont collecté des paiements en Bitcoin et autres crypto-monnaies auprès de certaines victimes qui ont payé la rançon pour décrypter leurs données”, indique l’acte d’accusation.
Les Iraniens ont piraté des réseaux dans plusieurs pays, “gagner[ing] accès non autorisé aux systèmes informatiques de centaines de victimes aux États-Unis, au Royaume-Uni, en Israël, en Iran et ailleurs », a déclaré le DOJ. L’agence américaine a accusé le gouvernement iranien de « créer[ing] un refuge sûr où les cybercriminels agissant à des fins personnelles prospèrent et où les accusés comme ceux-ci sont capables de pirater et d’extorquer les victimes, y compris les fournisseurs d’infrastructures critiques.”
En avril 2021, “Nickaein a envoyé une demande de rançon aux imprimeurs” d’une société de l’Illinois appelée “Accounting Firm 2”, selon l’acte d’accusation. La demande de rançon aurait dit à l’entreprise de contacter un compte de messagerie contrôlé par Nickaein et comprenait le texte suivant :
Salut!
SI VOUS LISEZ CECI, CELA SIGNIFIE QUE VOS DONNÉES SONT CRYPTÉES ET QUE VOS INFORMATIONS PRIVÉES SENSIBLES SONT VOLÉES !
LISEZ ATTENTIVEMENT TOUTES LES INSTRUCTIONS POUR ÉVITER TOUT PROBLÈME
VOUS DEVEZ NOUS CONTACTER IMMÉDIATEMENT POUR RÉSOUDRE CE PROBLÈME ET CONCLURE UNE AFFAIRE !
…
Nous vendrons vos données si vous décidez de ne pas payer ou essayez de les récupérer.
Avant d’envoyer la demande de rançon, Nickaein a piraté le réseau de l’entreprise, “volé des données et lancé une attaque de cryptage à l’aide de BitLocker, refusant ainsi au cabinet comptable 2 l’accès à certains de ses systèmes et données”, indique l’acte d’accusation.
Ce n’est pas la première campagne de piratage à utiliser la tactique, parfois appelée “print bombing”, consistant à envoyer des demandes de rançon aux imprimantes du réseau infecté.
.jpg)
