Deux iraniens accusés d’avoir déployé un Ransomware pour extorquer des institutions en causant plus de 30 millions de dollars de pertes

Un grand jury fédéral a rendu un acte d’accusation non scellé aujourd’hui à Newark, dans le New Jersey, accusant Faramarz Shahi Savandi, 34 ans, et Mohammad Mehdi Shah Mansouri, 27 ans, d’Iran, dans une opération internationale de piratage informatique et d’extorsion de 34 mois ransomware sophistiqué, a annoncé le sous-procureur général Rod J. Rosenstein, le procureur général adjoint Brian A. Benczkowski de la division criminelle du ministère de la Justice, le procureur américain Craig Carpenito pour le District du New Jersey et la directrice adjointe exécutive Amy S. Hess du FBI.

L’acte d’accusation à six chefs d’accusation allègue que Savandi et Mansouri, agissant depuis l’Iran, ont créé un logiciel malveillant, connu sous le nom de «SamSam Ransomware», capable de crypter de force des données sur les ordinateurs des victimes.

 Selon l’acte d’accusation, à compter de décembre 2015, Savandi et Mansouri auraient alors accès aux ordinateurs des entités victimes sans autorisation par le biais de vulnérabilités de sécurité, puis installé et exécuté SamSam Ransomware sur les ordinateurs, ce qui aurait pour effet de chiffrer les données sur les ordinateurs des victimes.

 

 

 

 

Selon l’acte d’accusation, ces plus de 200 victimes comprenaient des hôpitaux, des municipalités et des institutions publiques, y compris la ville d’Atlanta, en Géorgie; la ville de Newark, New Jersey; le port de San Diego en Californie; le Colorado Department of Transportation; l’Université de Calgary à Calgary, Alberta, Canada; et six entités liées aux soins de santé: le Hollywood Presbyterian Medical Center à Los Angeles, en Californie; Kansas Heart Hospital à Wichita, au Kansas; Laboratory Corporation of America Holdings, plus communément appelée LabCorp, dont le siège social est situé à Burlington, en Caroline du Nord; MedStar Health, dont le siège est à Columbia, dans le Maryland; Hôpital orthopédique du Nebraska, à présent appelé hôpital OrthoNebraska, à Omaha, Nebraska, et Allscripts Healthcare Solutions Inc., dont le siège est à Chicago, dans l’Illinois.

Selon l’acte d’accusation, Savandi et Mansouri extorqueraient alors des entités victimes en exigeant une rançon en monnaie virtuelle Bitcoin en échange de clés de décryptage pour les données cryptées, en collectant des paiements de rançon auprès des entités victimes qui ont payé la rançon et en échangeant le produit Bitcoin Rial iranien utilisant des échangeurs Bitcoin basés en Iran. 

L’acte d’accusation allègue qu’en raison de leur comportement, Savandi et Mansouri ont perçu plus de 6 millions USD de rançons à ce jour et ont causé plus de 30 millions USD de pertes aux victimes.

«Les accusés iraniens auraient utilisé le piratage informatique et les logiciels malveillants pour causer plus de 30 millions de dollars de pertes à plus de 200 victimes», a déclaré le procureur général adjoint Rosenstein. «Selon l’acte d’accusation, les pirates informatiques ont infiltré les systèmes informatiques de 10 États et du Canada et ont ensuite exigé le paiement. Les activités criminelles ont nui aux organismes publics, aux administrations municipales, aux hôpitaux et à d’innombrables victimes innocentes. « 

«Les accusations non révélées aujourd’hui dans l’acte d’accusation, la première du genre , décrivent un stratagème international de piratage informatique et d’extorsion basé en Iran qui impliquait un chantage numérique du XXIe siècle», a déclaré le procureur général adjoint Benczkowski.

 «Ces accusés auraient utilisé un ransomware pour infecter les réseaux informatiques des municipalités, des hôpitaux et d’autres institutions publiques clés, verrouillant ainsi les propriétaires d’ordinateurs, puis leur réclamant des millions de dollars en paiements. Comme le démontrent les accusations, la division criminelle et ses partenaires chargés de l’application de la loi poursuivront sans relâche les cybercriminels qui portent atteinte aux citoyens, aux entreprises et aux institutions américaines, quel que soit leur lieu de résidence. »

«Les accusés dans cette affaire ont développé et déployé SamSam Ransomware afin de tenir en otage des entités publiques et privées, puis de leur extorquer de l’argent», a déclaré l’avocat américain Carpenito. 

«Comme l’indique l’acte d’accusation dans cette affaire, ils ont démarré avec une entreprise dans le comté de Mercer, puis dans des entités publiques majeures, telles que la ville de Newark, et des prestataires de soins de santé, tels que le Hollywood Presbyterian Medical Center à Los Angeles et le Kansas Heart Hospital. à Wichita, profitant de manière loufoque du fait que ces victimes dépendent de leurs réseaux informatiques pour servir le public, les malades et les blessés sans interruption. 

Les accusations annoncées aujourd’hui montrent que le bureau du procureur américain pour le district du New Jersey continuera d’agir pour perturber ces actes criminels et identifier ceux qui en sont responsables,

« Cet acte d’accusation démontre l’engagement continu du FBI à démasquer les acteurs malveillants derrière les cyberattaques les plus flagrantes du monde », a déclaré le directeur exécutif adjoint, Hess.

 «En appelant ceux qui menacent les systèmes américains, nous exposons les criminels qui se cachent derrière leur ordinateur et lançons des attaques qui menacent notre sécurité publique et la sécurité nationale. 

Les actions soulignées aujourd’hui, qui représentent une tendance constante d’activités de cybercriminalité émanant d’Iran, étaient particulièrement menaçantes, dans la mesure où elles visaient des institutions de sécurité publique, y compris des systèmes hospitaliers américains et des entités gouvernementales.

 Le FBI, avec l’aide de ses partenaires du secteur privé et du gouvernement américain,ont  envoyé un message fort: nous allons travailler ensemble pour enquêter et responsabiliser tous les criminels. « 

Savandi et Mansouri sont accusés d’un chef d’accusation de complot en vue de commettre une fraude électronique, d’un chef d’accusation de complot en vue de commettre une fraude et d’activités connexes liées aux ordinateurs, de deux chefs d’accusation de dommage intentionnel à un ordinateur protégé et de deux chefs d’accusation de d’endommager un ordinateur protégé.

Selon l’acte d’accusation, Savandi et Mansouri ont créé la première version du SamSam Ransomware en décembre 2015 et en ont publié des versions plus élaborées en juin et en octobre 2017.

En plus d’employer des échangeurs de Bitcoin basés en Iran, l’acte d’accusation allègue que les accusés ont également utilisé infrastructure informatique pour commettre leurs attaques. 

Savandi et Mansouri utiliseraient également des techniques de reconnaissance sophistiquées en ligne (telles que la recherche de vulnérabilités de réseaux informatiques) et effectueraient des recherches en ligne afin de sélectionner et de cibler les victimes potentielles, conformément à l’acte d’accusation. Selon l’acte d’accusation, les accusés déguiseraient également leurs attaques pour apparaître comme une activité de réseau légitime.

L’acte d’accusation allègue que les accusés ont également eu recours à Tor, un réseau informatique conçu pour faciliter la communication anonyme sur Internet. Selon l’acte d’accusation, les accusés ont maximisé les dommages causés aux victimes en lançant des attaques en dehors des heures normales de travail, lorsqu’une victime aurait plus de difficulté à atténuer l’attaque et en cryptant les sauvegardes de leurs ordinateurs. 

Selon l’acte d’accusation, c’était censé  et c’était souvent le cas  de paralyser les activités commerciales habituelles des victimes. La plus récente attaque par ransomware contre une victime présumée dans l’acte d’accusation a eu lieu le 25 septembre 2018.

Cette affaire a été examinée par le bureau extérieur du FBI à Newark.

 Le procureur principal William A. Hall Jr. de la Section de la criminalité informatique et de la propriété intellectuelle (CCIPS) et le procureur américain adjoint et chef de la division de la cybercriminalité Justin S. Herring du district de New Jersey poursuivent l’affaire. 

Le ministère remercie ses collègues des forces de l’ordre de la National Crime Agency (Royaume-Uni), de la police du West Yorkshire (Royaume-Uni), de la police de Calgary (Canada) et de la Gendarmerie royale du Canada. La Division de la sécurité nationale du Département de la justice et le Bureau des affaires internationales du Département de la justice ont apporté une aide considérable.

 

Les accusations contenues dans un acte d’accusation ne sont que des allégations et les accusés sont présumés innocents jusqu’à ce que leur culpabilité soit établie au-delà de tout doute raisonnable devant un tribunal.