Des pirates informatiques russes et nord-coréens dérobent 2 To de données à des banques sud-coréennes.

Le secteur financier sud-coréen a été frappé par une attaque coordonnée contre sa chaîne d'approvisionnement, liée à des acteurs malveillants russes et nord-coréens, qui a entraîné le déploiement du ransomware Qilin et le vol de données sensibles, a confirmé la société de cybersécurité Bitdefender.

Lors de la compilation des recherches pour son rapport Threat Debrief d'octobre, Bitdefender a déclaré avoir commencé à enquêter sur la campagne après avoir constaté une augmentation inhabituelle desdentde ransomware en Corée du Sud en septembre. 

Le pays a enregistré 25 attaques ce mois-là, une différence considérable par rapport à la moyenne mensuelle de seulement deux cas enregistrés entre septembre 2024 et août de cette année. 

La Corée du Sud ciblée par des attaques de ransomware Qilin

de Bitdefender un rapport publié lundi dernier, la Corée du Sud est devenue le deuxième pays le plus touché par les ransomwares cette année, juste après les États-Unis. Sur environ 33 cas identifiés par la société de sécurité informatiquedent25 sont attribués au groupe Qilin et 24 des entités compromises appartiennent au secteur financier. 

« Cette opération a combiné les capacités d'un important groupe de ransomware-as-a-service (RaaS), Qilin, avec une implication potentielle d'acteurs affiliés à l'État nord-coréen (Moonstone Sleet), en tirant parti de la compromission d'un fournisseur de services gérés (MSP) comme vecteur d'accès initial », indique le rapport.

Qilin est l'un des groupes de ransomware cette année. Opérant selon un modèle de ransomware-as-a-service, il a revendiqué plus de 180 victimes rien qu'en octobre. D'après les renseignements sur les menaces fournis par NCC Group, ce groupe est responsable de 29 % des attaques de ransomware à l'échelle mondiale.

Bien que le nom du groupe provienne d'une créature mythologique chinoise, Bitdefender estime que Qilin a des origines russes. Son enquête a révélé que l'un de ses membres fondateurs, « BianLian », communique en russe et en anglais et est très actif sur des forums de cybercriminalité russophones. 

Le groupe évite également d'attaquer les organisations de la Communauté des États indépendantsdent une règle courante parmi les opérations de ransomware basées en Russie.

Qilin recrute des pirates informatiques pour mener ses attaques, tandis que ses principaux responsables perçoivent une part des profits illicites. Le groupe se vante également de disposer d'une « équipe interne de journalistes » chargée d'aider ses affiliés à rédiger des messages et des publications d'extorsion pour sa plateforme de fuite de données.

Selon l'analyse de Bitdefender sur la campagne Korean Leaks, les pirates informatiques se sont fait passer pour des « activistes » et des « patriotes » en utilisant un langage politique pour produire des messages de propagande, et ont ciblé l'ensemble du secteur financier du pays. 

Dans un cas survenu le 20 août et impliquant une entreprise de construction, les auteurs de l'attaque ont averti que les données volées avaient une « valeur en matière de renseignement militaire ». Le message affirmait que les plans et les dessins de centaines de projets achevés, notamment des ponts et des réservoirs de gaz naturel liquéfié, étaient désormais accessibles au public. 

« Un rapport sur le contenu de ces documents est déjà en préparation pour le camarade Kim Jong-un », pouvait-on lire dans l'une des discussions divulguées sur les forums Qilin, laissant entendre que des pirates informatiques partageaient des informations avec les du groupe nord-coréen .

Qilin dérobe 2 To de données en trois vagues.

L'opération Korean Leaks, selon Bitdefender, s'est déroulée en trois phases, entraînant le vol de plus d'un million de fichiers et de 2 To de données appartenant à 28 victimes identifiées. Des publications liées à quatre autres entités ont ensuite été supprimées du site de fuite de données, probablement suite à des paiements de rançon ou à des décisions internes des opérateurs.

La première vague, publiée le 14 septembre, concernait 10 victimes du secteur de la gestion financière. La deuxième, diffusée entre le 17 et le 19 septembre, a recensé neuf cas supplémentaires, tandis que la troisième, lancée entre le 28 septembre et le 4 octobre, visait neuf autres organisations. 

« Nous possédons des données sur des dizaines d'entreprises. Le scandale des fuites de données coréennes (Korean Leak) justifie un retrait massif de capitaux de la bourse coréenne, car la publication de ces données defiun coup dur à l'ensemble du marché. Et nous le ferons defifaute », pouvait-on lire dans une menace proférée par les pirates informatiques lors de la seconde vague.

Bitdefender a déclaré que les auteurs de l'attaque avaient présenté la campagne comme une tentative de dénoncer la corruption, notamment en menaçant de publier des documents pouvant constituer « la preuve d'une manipulation boursière » et les noms de « personnalités politiques et d'hommes d'affaires coréens bien connus ».

Le 23 septembre, le journal coréen JoongAng Daily a rapporté que plus de 20 sociétés de gestion d'actifs avaient été infectées par un ransomware après la violation de données d'un fournisseur de services appelé GJTec.