Deux pirates iraniens inculpés mercredi dans un acte d'accusation fédéral ont été accusés d'avoir attaqué les réseaux informatiques d'hôpitaux et d'autres cibles dans 43 États, une vaste campagne d'extorsion criminelle qui a frappé un hôpital cardiaque au Kansas et perturbé l'une des plus grandes sociétés de tests sanguins de diagnostic en Caroline du Nord.

Les procureurs fédéraux ont déclaré que la vague de cybercriminalité de trois ans avait causé des dizaines de millions de dollars de dommages d'un océan à l'autre. Il s'agissait du premier acte d'accusation américain contre des pirates informatiques étrangers engagés dans un programme de ransomware et d'extorsion à but lucratif.

Les deux pirates ont développé des outils uniques pour tenir les réseaux informatiques américains en otage depuis l'Iran, ont dit les procureurs. Les deux Iraniens, Faramarz Shahi Savandi, 34, et Mohammad Mehdi Shah Mansouri, 27, se tenir à distance, vraisemblablement dans leur patrie, ont déclaré les responsables.

Le procureur général adjoint Brian A. Benczkowski a esquivé la question de savoir si le gouvernement iranien avait parrainé les deux, disant seulement que l'acte d'accusation ne contient pas une telle allégation.

La campagne de ransomware de trois ans a fait au moins 200 victimes aux États-Unis, encaissant plus de 6 millions de dollars de paiements d'extorsion et causant plus de 30 millions de dollars de pertes, a déclaré le sous-procureur général Rod J. Rosenstein.

Un ransomware est un code informatique qui crypte les systèmes ciblés et paralyse les réseaux jusqu'à ce que les victimes paient une rançon, généralement dans une monnaie numérique comme Bitcoin.

Le ransomware iranien, appelé SamSam, est utilisé depuis début 2016.

Dans l'une des premières actions présumées de l'équipe iranienne en 2016, il a frappé les ordinateurs du Kansas Heart Hospital de 54 lits à Wichita, qui fournit des soins cardiovasculaires spécialisés aux patients du Kansas et du nord de l'Oklahoma.

Des articles de presse à l'époque indiquaient que le Kansas Heart Hospital avait payé une rançon non divulguée, puis fait face à de nouvelles demandes de la part des pirates. La porte-parole de l'hôpital Joyce Heismeyer n'a pas pu être jointe dans l'immédiat.

Les pirates ont pénétré les réseaux d'au moins six entités liées aux soins de santé, dont le Hollywood Presbyterian Hospital de Los Angeles et MedStar Health of Columbia, Maryland

Parmi les autres cibles de la campagne iranienne figuraient les réseaux des villes d'Atlanta (crypté en mars) et de Newark, N.J. (avril 2017), le ministère des Transports du Colorado (19 février, 2018) et le port de San Diego (25 sept. 2018).

Les responsables ont déclaré que les pirates avaient l'intention de créer des perturbations et d'infliger des dommages physiques autant que de collecter une rançon, visant délibérément les établissements de santé et les hôpitaux.

"Beaucoup de victimes étaient des agences publiques dont la mission consistait à sauver des vies et à remplir d'autres fonctions essentielles pour le peuple américain, ", a déclaré le sous-procureur général Rod Rosenstein.

Les États victimes de six attaques ou plus de SamSam incluent la Californie, Texas, Floride, Géorgie, Caroline du Nord, Missouri et Illinois, selon le ministère de la Justice. Seuls sept États ont échappé à toute attaque. Le ministère de la Justice n'a pas fourni une liste complète de toutes les victimes connues, ou dire quelles victimes ont payé une rançon.

Certains chercheurs en sécurité se sont demandé si l'acte d'accusation réduirait les attaques de ransomware.

"L'impact que ces actes d'accusation auront n'est pas clair puisque les individus sont prétendument situés en Iran et restent en liberté, " a déclaré Kimberly Goody, un analyste en cybercriminalité chez FireEye, une grande entreprise de cybersécurité.

L'une des attaques les plus récentes a eu lieu le 14 juillet contre Laboratory Corporation of America, ou LabCorp, un Burlington, NC., société de diagnostic qui traite plus de 2,5 millions de tests par semaine, et détient une base de données de patients de près de la moitié de la population américaine. Son empreinte mondiale atteint 127 pays.

Un porte-parole de l'entreprise, Donald R. Von Hagen, a refusé de dire combien d'ordinateurs ont été désactivés lorsque des pirates ont pénétré le réseau le 14 juillet.

"Il n'y a aucune preuve que des données LabCorp ont été supprimées de nos systèmes, " LabCorp a déclaré dans un communiqué du 26 octobre. Il a déclaré que l'attaque avait affecté l'accès aux résultats des tests pendant une période limitée, mais que " les opérations étaient revenues à la normale en quelques jours ".

De nombreuses victimes de SamSam ont peut-être gardé les attaques pour elles-mêmes, payer les pirates et prier pour qu'une clé soit offerte en retour pour décrypter leurs réseaux.

Alors qu'un nombre croissant de victimes de la cybercriminalité s'adressent aux autorités, La directrice adjointe exécutive du FBI, Amy S. Hess, a déclaré :« Je suppose que ce n'est pas encore la majorité.

Sophos, une société de logiciels de sécurité basée au Royaume-Uni, qui suit SamSam depuis près de trois ans, a déclaré ce mois-ci qu'une attaque SamSam se produit en moyenne une fois par jour. Il dit que les demandes de rançon dépassent régulièrement les 50 $, 000.

Ce qui est unique avec le ransomware SamSam, les experts disent, est qu'il est conçu pour permettre à un cybercriminel de cartographier et de se déplacer à travers un réseau ciblé, contrairement à d'autres ransomwares qui se propagent au hasard dans des campagnes largement visibles par les ingénieurs logiciels.

Les pirates iraniens ont mis en place des sites Web personnalisés sur des réseaux souterrains pour offrir aux victimes une assistance technique pour effectuer leurs paiements de rançon Bitcoin.

Dans une action séparée mais coordonnée, le département du Trésor a imposé des sanctions à deux autres Iraniens qui, selon lui, ont facilité l'échange de paiements de rançon Bitcoin en monnaie iranienne. Bureau du contrôle des avoirs étrangers du Trésor, ou OFAC, a pris la décision inhabituelle de publier les adresses de monnaie numérique utilisées par les deux Iraniens et a déclaré qu'ils en avaient mené au moins 7, 000 opérations.

Les procureurs ont allégué que les Iraniens utilisaient des transactions Bitcoin et communiquaient via TOR, un navigateur Web sombre qui, selon les cybercriminels, protège l'anonymat.

Mais Hess a déclaré que le FBI était capable de franchir les barrières numériques.

« Les anonymiseurs pourraient ne pas vous rendre aussi anonyme que vous le pensez, " elle a dit.

Un expert des monnaies numériques, Yaya J. Fanusie, dit les sanctions contre les deux Iraniens supplémentaires, Ali Khorashadizadeh et Mohammad Ghorbaniyan, visait le monde cybercriminel au sens large.

"Ces actions sont un signal, " dit Fanusie, un ancien analyste de la CIA, ajoutant que les responsables de l'application des lois s'adaptent aux "technologies financières émergentes comme la crypto-monnaie".

Fanusie a déclaré que si les criminels peuvent stocker Bitcoin dans des portefeuilles numériques anonymes stockés à des adresses de monnaie numérique, le mouvement des pièces numériques laisse "une piste publique que quiconque peut suivre et analyser".

©2018 McClatchy Bureau de Washington
Distribué par Tribune Content Agency, LLC.