Le gouvernement nord-coréen utiliserait un ransomware contre la Corée du Sud

Corée du Nord
(Crédit photo: Etereuti / Pixabay)

Selon la police, des cybercriminels commandités par l'État nord-coréen ont été surpris en train d'utiliser un ransomware contre des entreprises ainsi que des organisations de Corée du Sud, pays voisin, et ce, pour la première fois.

Selon le South China Morning Post, l'agence nationale de police sud-coréenne a déclaré que les auteurs de ces attaques avaient ciblé au moins 893 experts en politique étrangère dans le pays, dans le but de dérober leurs données d'identité et leurs listes d'adresses électroniques. 

Les premières victimes étaient principalement des experts dans des groupes de réflexion et des professeurs, qui ont été ciblés par des emails de phishing.

Ransomware de la Corée du Nord

Les cybercriminels se faisaient passer pour un secrétaire du bureau de Tae Yong-ho, du parti au pouvoir, le People Power Party, ou pour un fonctionnaire de l'Académie diplomatique nationale de Corée. Les courriels, dont la diffusion a commencé dès avril 2022, contenaient des liens vers des sites Web malveillants ou des logiciels malveillants en pièces jointes.

Selon les conclusions de l'organisme chargé de l'application de la loi, au moins 49 personnes sont tombées dans le panneau et ont donné aux pirates l'accès à leurs comptes de messagerie et à leurs données privées et personnelles.

Cela a suffi pour lancer des attaques par ransomware contre au moins 13 entreprises (principalement d'importantes boutiques en ligne). Deux d'entre elles ont déjà payé environ 2,5 millions de wons (un peu moins de 1850 €) pour retrouver l'accès à leurs systèmes.

La police cherche à découvrir qui est exactement à l'origine de ces attaques et affirme que les auteurs de la menace ont utilisé 326 serveurs de "contournement" dans 26 pays pour brouiller les pistes.

Elle pense toutefois que le groupe est très probablement le même que celui qui a attaqué Korea Hydro & Nuclear Power en 2014. 

Les principaux arguments en faveur de l'implication des Nord-Coréens dans cette campagne sont les adresses IP utilisées dans l'attaque, les tentatives de connexion des cibles à des sites Web étrangers, l'utilisation de la langue nord-coréenne et le choix des cibles (experts en diplomatie, penseurs de l'unification intercoréenne, experts en sécurité nationale et en défense). 

Via: Engadget (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.