REvil : Les secrets des pirates russes de Medibank révélés

Un pirate informatique prétendant appartenir au même groupe que celui qui a orchestré les piratages de Medibank s’est entretenu avec Four Corners, révélant plus de détails sur les énormes organisations qui mènent des cyberattaques dans le monde entier.

Le hacker à qui ils ont parlé, nommé Kerasid, a affirmé être fortement impliqué dans le groupe cybercriminel REvil, abréviation de Ransomware Evil, qui a mené une campagne d’attaques en 2020 et 2021 qui a permis de récolter au moins 200 millions de dollars américains.

REvil a été lié au piratage de Medibank par la fuite de plus de 2000 données médicales personnelles d’Australiens.

Une partie de la correspondance a révélé de nouvelles informations surprenantes sur l’attrait de l’Australie en tant que cible.

« Les Australiens sont les êtres humains les plus stupides qui soient et ils ont beaucoup d’argent sans raison », a déclaré Kerasid par le biais de messages Telegram à Four Corners.

« Beaucoup d’argent et aucun sens ».

Des pirates ou des « affiliés » s’introduisent dans un cyber-système pour voler des données sensibles avant d’empêcher l’organisation d’accéder aux fichiers en les chiffrant à l’aide d’un ransomware.

L’organisation criminelle demande alors une rançon, les négociateurs étant appelés à obtenir la somme la plus élevée possible pour que les données soient restituées et que l’accès soit autorisé.

Dans le cas du piratage de Medibank, les négociateurs ont contacté directement le directeur général de l’entreprise par SMS pour l’informer qu’ils allaient divulguer des informations médicales sensibles.

« Bonjour, comme votre équipe est plutôt timide, nous avons décidé de faire le premier pas dans notre négociation », disait le texte.

« Nous avons trouvé des personnes avec des diagnostics très intéressants. »

Selon le directeur de Risk Advisory, John Macpherson, les pirates semblent avoir tenté d’utiliser l’inquiétude du public face à d’éventuelles fuites pour renforcer leurs demandes d’argent.

« Dans l’affaire Medibank, le pirate semblait apprécier les médias et la notoriété.

« Ils semblent penser que la publicité négative inciterait Medibank à payer une rançon, alors qu’en réalité, c’est tout le contraire qui s’est produit.

Les pirates se sont ensuite tournés vers les menaces directes lorsqu’il est apparu que Medibank n’allait pas cracher l’argent de la rançon.

« En cas d’issue négative des négociations pour nous, nous ferons tout ce qui est en notre pouvoir pour causer le plus de dommages possible à Medibank. Nous ferons tout ce qui est en notre pouvoir pour vous infliger autant de dommages que possible, tant sur le plan financier que sur celui de la réputation », peut-on lire dans une autre correspondance.

Des documents internes d’un autre gang en ligne, Conti, qui ont fait l’objet d’une fuite en février 2022, ont révélé la structure d’organisations telles que REvil.

Conti avait atteint une telle taille qu’il comptait jusqu’à 100 employés, dont des cadres et un service de ressources humaines qui tentait de recruter d’autres cybercriminels et codeurs dans ses rangs.

Malgré les énormes sommes d’argent que les organisations sont capables d’engranger, les codeurs et les négociateurs au bas de l’échelle sont souvent payés entre 1 000 et 2 000 dollars par mois.

Ils sont souvent soumis à des conditions de travail difficiles et se voient même infliger des amendes pour « absentéisme et diverses erreurs ayant entraîné des pertes ».

Entre-temps, la ministre de l’Intérieur, Clare O’Neil, a déclaré que les soumissions à la stratégie australienne de cybersécurité 2023-2030, les prochaines étapes de la défense du gouvernement contre les pirates informatiques, étaient désormais closes.

« Ce document de discussion montre l’étendue du soutien de la communauté à une stratégie audacieuse et ambitieuse visant à stimuler notre cyber-industrie nationale, à travailler avec les leaders de l’industrie et à s’attaquer aux cyber-menaces », a déclaré Mme O’Neil.

« En tant que gouvernement, nous sommes déterminés à accroître la résilience et les capacités nationales de l’Australie en matière de cybermenaces, afin de devenir un leader mondial en matière de cybersécurité d’ici 2030 ».

Le ministère va maintenant examiner les 280 propositions et identifier les initiatives clés à inclure dans la stratégie, sous la direction du comité consultatif d’experts, présidé par l’ancien PDG de Telstra, Andrew Penn.