La police fédérale australienne affirme avoir identifié les cybercriminels à l’origine de l’attaque du rançongiciel Medibank, qui a compromis les données personnelles de 9,7 millions de clients.
Le commissaire de l’AFP, Reece Kershaw, a déclaré vendredi que l’agence connaissait l’identité des personnes responsables de l’attaque contre le plus grand assureur maladie privé d’Australie. Il a refusé de nommer les individus, mais a déclaré que l’AFP pensait que les responsables de la violation se trouvaient en Russie, bien que certains affiliés puissent se trouver dans d’autres pays.
Dans un tweet, le Premier ministre australien Anthony Albanese, dont les propres données de Medibank ont été volées, a déclaré que l’AFP savait où se trouvaient les pirates et s’efforçait de les traduire en justice.
Kershaw a déclaré que les renseignements de la police pointent vers un « groupe de cybercriminels vaguement affiliés » qui sont probablement responsables d’importantes violations de données dans le monde, mais n’ont pas nommé de victimes.
« Ces cybercriminels fonctionnent comme une entreprise avec des affiliés et des associés qui soutiennent l’entreprise », a-t-il ajouté, désignant les ransomwares comme une opération de service telle que LockBit. Jeudi, un double ressortissant russo-canadien lié à l’opération LockBit a été arrêté au Canada.
Les pirates à l’origine de la violation de Medibank étaient auparavant liés au gang russe de cybercriminalité REvil, également connu sous le nom de Sodinokibi. Le site de fuites sur le Web sombre de REvil, autrefois disparu, redirige désormais le trafic vers un nouveau site qui héberge les données volées de Medibank, et les pirates à l’origine de la violation ont également été observés en utilisant une variante du logiciel malveillant de cryptage de fichiers de REvil.
L’ambassade de Russie à Canberra n’a pas tardé à réfuter les allégations selon lesquelles les pirates de Medibank seraient basés en Russie. « Pour une raison quelconque, cette annonce a été faite avant même que l’AFP n’ait contacté la partie russe via les canaux de communication professionnels existants », a déclaré vendredi l’ambassade dans un communiqué. « Nous encourageons l’AFP à prendre dûment contact avec les forces de l’ordre russes respectives. »
Les services de sécurité fédéraux russes FSB (anciennement le KGB) ont déclaré en janvier que REvil « avait cessé d’exister » après plusieurs arrestations à la demande du gouvernement américain. En mars, le ressortissant ukrainien Yaroslav Vasinskyi, un membre clé présumé du groupe REvil lié à une attaque contre le fournisseur de logiciels américain Kaseya, a été extradé de Pologne vers les États-Unis pour faire face à des accusations.
« Même après une série d’opérations d’application de la loi contre REvil, le gang et ses affiliés semblent toujours revenir, sur la base de l’analyse du dernier échantillon de ransomware REvil », a déclaré Roman Rezvukhin, responsable de l’équipe d’analyse des logiciels malveillants et de chasse aux menaces chez Group-IB. , raconte TechCrunch.
Kershaw a déclaré vendredi que l’AFP, ainsi que des partenaires internationaux tels qu’Interpol, « tiendront des pourparlers avec les forces de l’ordre russes au sujet de ces individus ».
« Il est important de noter que la Russie bénéficie du partage de renseignements et des données partagées via Interpol, et cela s’accompagne de responsabilités et de comptes à rendre », a déclaré Kershaw. «Aux criminels: nous savons qui vous êtes, et de plus, l’AFP a des points importants sur le tableau de bord lorsqu’il s’agit de ramener des délinquants étrangers en Australie pour qu’ils soient confrontés au système judiciaire.»
Alors que l’AFP a extradé avec succès des personnes de Pologne, de Serbie et des Émirats arabes unis ces dernières années pour faire face à des accusations criminelles en Australie, l’extradition de pirates informatiques russes sera probablement difficile. En 2018, le président russe Vladimir Poutine a déclaré que « la Russie n’extrade ses citoyens à personne ».
Malgré l’action de l’AFP, la faille de Medibank continue de s’aggraver suite à sa décision de refuser de payer la demande de rançon des cybercriminels. Jeudi, le blog sombre des attaquants a publié davantage de données volées, y compris des fichiers sensibles liés aux avortements et aux maladies liées à l’alcool. Les cybercriminels ont affirmé qu’ils avaient initialement demandé une rançon de 10 millions de dollars à Medibank avant de réduire la somme à 9,7 millions de dollars, soit 1 dollar par client concerné, selon le blog.
« Malheureusement, nous nous attendons à ce que le criminel continue de divulguer chaque jour des données clients volées », a déclaré vendredi le PDG de Medibank, David Koczkar. « Ce sont de vraies personnes derrière ces données et l’utilisation abusive de leurs données est déplorable et peut les décourager de se faire soigner. »