Des hôpitaux au Royaume-Unis et aux Etats-Unis ont subi plusieurs attaques informatiques durant la période du Covid. Les hackers ont utilisé Trickbot, un ransomware de type cheval de Troie paru en 2016. Les autorités des deux pays traquent les responsables depuis 2020. En février 2023, elles ont pris des sanctions financières contre ces cybercriminels.
Des communiqués des gouvernements britannique et américain, publié le 9 février 2023, annoncent l’ appréhension de 7 pirates informatiques présumés. Accusées d’appartenir à un groupe ayant utilisé Trickbot pour attaquer des hôpitaux, ces personnes ont toutes la nationalité russe. Pour les administrations des deux pays, les hackers forment un groupe en étroite collaboration avec le service de renseignement russe.
L’US Cyber Command, expert cybersécurité de l’armée américaine, recherche ce groupe depuis l’automne 2020. Le « name and shame » suscité par les documents incriminant les hackers a permis la mise en place d’une sanction économique et ainsi de dire au monde que les cyberattaques russes ne resteraient pas impunies.
Un cheval de Troie et un ransomware
Trickbot est le nom d’un malware qui a été découvert en 2016. On l’utilise pour s’attaquer principalement aux données bancaires. Ce programme malveillant a également évolué au fil du temps et est devenu un outil polyvalent pour les cybercriminels qui s’en servent. Voyant l’étendue des dégâts causés, l’unité US Cyber Command décide de détruire la structure de Trickbot en 2020.
Chainalysis, entreprise américaine spécialisée dans l’analyse de flux sur blockchain, estime que Trickbot aurait rapporté à ses utilisateurs 724 millions de dollars en cryptodevise. Au Royaume-Uni, les hackers ont utilisé ce malware pour voler jusqu’à 27 millions de livres. Les cybercriminels s’en prenaient principalement à des écoles et des hôpitaux.
Dans son communiqué, l’administration britannique donne des détails sur ces victimes :
[…] des hôpitaux, des écoles, des entreprises et des autorités locales, […]
Aux Etats-Unis, le Département au Trésor explique que les pirates informatiques ont utilisé ce logiciel malveillant pour s’attaquer aux mêmes infrastructures. L’administration américaine précise que le groupe de hackers a :
[…] déployé un logiciel de rançon contre trois établissements médicaux du Minnesota, perturbant leurs réseaux informatiques et téléphoniques et provoquant un détournement d’ambulances.
Selon le communiqué de Washington, les utilisateurs de Trickbot visent les installations médicales pour deux raisons :
- La facilité du ciblage ;
- La rapidité de versement des rançons.
Un groupe composé de plusieurs experts
Brian Kerbs, un journaliste américain spécialiste en cybersécurité, cite un cadre d’Intel471, une société de renseignement. L’article parle d’un partenariat entre Evenjy Bogachev et le « patron du groupe Trickbot. Le premier est l’informaticien qui serait à l’origine de GameOverZeus, un autre virus de type cheval de Troie. Le second s’appelle Vitaly Kovalev. Surnom Bentley , il fait déjà l’objet d’une poursuite au pénal aux Etats-Unis pour le vol de près de 1 millions de dollars. Une infraction qu’il aurait commise entre 2009 et 2010.
Le volet administratif du groupe est géré par Mushroom. De son vrai nom Ivan Vakhromeyev, cet homme est soupçonné de servir d’intermédiaire dans l’organisation de ces cybercriminels. Tropa ou de son vrai nom Mikhail Iskritskiy s’occupe lui du blanchiment récolté grâce aux attaques.
Pour ce qui est du développement, Trickbot aurait été mis à jour par Valentin Karyagin et Maksin Mikhailov ou Globus et Badget. Dmitry Pleshevsky, alias Iseldor, se serait chargé quant à lui de l’intégration du programme malveillant sur les sites des établissements ciblés. Tandis que Strix (ou Valery Sedletski), gèrerait les différents serveurs.
Selon Chainalysis, un autre administrateur travaillant avec ces accusés n’a pas encore été identifié. Il s’agit de Stern, un des responsables de Trickbot. En effet, les investigations ont prouvé que celui-ci avait envoyé de la cryptomonnaie à quatre de ces personnes citées précédemment. À cela s’ajoute le fait qu’il ferait partie des gérants du gang Conti, spécialisé également dans les attaques au rançongiciel.