Un grand jury de Kansas City a inculpé Rim Jong Hyok, un agent des services de renseignement nord-coréens qui aurait utilisé un ransomware pour attaquer les systèmes des prestataires de soins de santé aux États-Unis, selon AP NewsLe département d’Etat a déclaré que Rim faisait partie d’un groupe appelé Andariel, contrôlé par l’agence de renseignement nord-coréenne, le Reconnaissance General Bureau. Rim n’est pas détenu par le gouvernement américain. L’agence offre désormais une récompense de 10 millions de dollars pour toute information qui permettrait de le localiser ou de localiser un agent étranger qui « se livre à certaines activités informatiques malveillantes contre des infrastructures critiques américaines ».
En 2021, un centre médical du Kansas a alerté le FBI au sujet d’une attaque qui bloquait l’accès du personnel aux dossiers des patients et aux résultats des tests de laboratoire, et les empêchait également d’utiliser le matériel hospitalier avec leurs ordinateurs. Il s’agit d’un mode opératoire courant du groupe Andariel de Rim, qui infiltre un système informatique et l’infecte avec le ransomware Maui. Le groupe demande ensuite à sa cible de payer et menace de divulguer des informations sensibles si elle ne paie pas. Dans le cas de l’hôpital du Kansas, le groupe a exigé une rançon en Bitcoin d’une valeur de 100 000 dollars dans les 48 heures. Le groupe aurait utilisé l’argent obtenu pour acheter plus d’ordinateurs et de serveurs afin de financer davantage de cyberattaques.
Le FBI, la Cybersecurity and Infrastructure Security Agency (CISA) et le Département du Trésor ont émis un avertissement conjoint en matière de cybersécurité au milieu des attaques d’Andariel contre des prestataires de soins de santé en 2022. « Les cyberacteurs parrainés par l’État nord-coréen supposent probablement que les organisations de soins de santé sont prêtes à payer des rançons parce que ces organisations fournissent des services essentiels à la vie et à la santé humaines », ont-ils écrit. Les enquêteurs fédéraux ont déclaré avoir suivi la rançon payée par le centre médical du Kansas à travers les blockchains et découvert que quelqu’un avait transféré les bitcoins à une adresse appartenant à deux ressortissants de Hong Kong. D’après les documents judiciaires consultés par APL’argent a ensuite été transféré vers une banque chinoise et retiré d’un distributeur automatique de billets en Chine, près du pont de l’amitié sino-coréenne reliant le pays à la Corée du Nord.
Andariel et Rim sont accusés d’avoir infiltré 17 entités dans 11 États, dont quatre entreprises de défense, deux bases de l’US Air Force et la NASA. Le groupe aurait pu rester dans le système informatique de la NASA pendant trois mois et voler 17 gigaoctets d’informations classifiées. Au cours d’une de ses opérations visant un sous-traitant de la défense américain en novembre 2022, le département d’État a déclaré que le groupe avait également pu extraire plus de 30 gigaoctets de données comprenant des informations sur le matériel utilisé dans les avions et les satellites militaires américains.