Le malware Locky utilisé pour cibler des hôpitaux Roumains

Un groupe de cybercriminels a été arrêté pour avoir tenté de diffusé le rançongiciel Locky dans des hôpitaux Roumains et d’autres établissements importants.

Dans le cadre d’une opération dirigée par le service roumain de détection et de répression, 4 personnes ont été arrêtées après que leurs maisons aient été perquisitionnées (3 en Roumanie et 1 en Moldavie).

Les procureurs de la Direction des enquêtes sur le crime organisé et le terrorisme (DIICOT) accusent le groupe d’opérations illégales avec des appareils et des programmes informatiques, d’accès illégal à un système informatique, d’altération de l’intégrité des données informatiques et de contrefaçon informatique.

Selon un communiqué de presse de DIICOT [traduit avec Google Traduction], le groupe criminel s’est formé au début de l’année et se fait appeler “Pentaguard”.

locky

Il y avait deux phases dans leur opération. En premier lieu, ils ont utilisé l’injection SQL pour compromettre et défigurer des sites Web, ciblant des sites Web gérés par «plusieurs institutions publiques (administration publique, gouvernement) et privées (financières-bancaires, culturelles, éducatives, etc.), en Roumanie et en République de Moldavie.”

Ils ont ensuite distribué des rançongiciels comme Locky pour mener des campagnes d’extorsion et des chevaux de Troie d’accès à distance (RAT) pour les aider à dérober des données. Ces attaques étaient dirigées contre plusieurs institutions publiques à Bucarest et ailleurs, et d’autres étaient prévues.

rançongiciel

“Les informations que nous avons obtenues à ce jour ont montré qu’ils avaient l’intention de lancer des attaques, y compris des attaques de rançongiciels, dans un proche avenir, contre certaines institutions de santé publique en Roumanie (généralement des hôpitaux)”, selon le communiqué. Ils ont utilisé «l’ingénierie sociale en envoyant une application exécutable malveillante, issue des familles “Locky” ou “BadRabbit” (virus informatique), cachée dans un e-mail et sous la forme d’un fichier qui proviendrait apparemment d’autres institutions gouvernementales, ayant pour thème la menace du COVID-19. ”

Locky n’est pas le seul à toujours être utilisé

Le tristement célèbre groupe de rançongiciels Maze et d’autres ont déclaré qu’ils n’agiraient plus au milieu de la pandémie de coronavirus – avant de finalement faire volte face. Les organisations de santé de tous bords continuent d’être attaquées.

Par exemple, en Avril, le groupe de ransomwares Clop a attaqué la société bio-pharmaceutique ExecuPharm et a divulgué «certaines informations sur l’entreprise et le personnel» sur des forums clandestins dans ce qui est connu comme une attaque à double extorsion. ExecuPharm, une filiale basée en Pennsylvanie du géant bio-pharmaceutique américain Parexel, fournit des outils de gestion des essais cliniques aux sociétés bio-pharmaceutiques. L’attaque a été lancée par le biais d’e-mails d’hameçonnage envoyés aux employés d’ExecuPharm.

«Grâce à ce type d’attaque, il y a la possibilité de bloquer et de perturber gravement le fonctionnement de l’infrastructure informatique de ces hôpitaux, qui font partie du système de santé, qui joue actuellement un rôle décisif pour combattre la pandémie du coronavirus », ont déclaré les responsables roumains.