Des cyberattaques, L'ONU offre une récompense de 10 millions de dollars : aidez-nous à identifier les pirates

Les individus et les entités désignés aujourd'hui sont tous liés au Corps iranien des gardes révolutionnaires islamiques (IRGC). Cette action poursuit une série de nominations de l'OFAC visant à protéger le peuple américain de l'activité du ransomware, des facilitateurs de l'activité du ransomware et d'autres cybercriminalités.

Le Programme national de récompenses pour la justice offre une récompense pouvant aller jusqu'à 10 millions de dollars pour l'information permettant d'identifier ou de localiser toute personne participant à des activités informatiques malveillantes contre les infrastructures essentielles des États-Unis.

“Les acteurs de la cybercriminalité et d'autres cybercriminels, quelle que soit leur origine nationale ou leur base d'opérations, ont ciblé des entreprises et des infrastructures essentielles dans l'ensemble du pays, menaçant directement la sécurité physique et l'économie des États-Unis et d'autres pays”, sous-secrétaire du Trésor au terrorisme et au renseignement financier Brian E. Nelson. “Nous continuerons d'agir en coordination avec nos partenaires mondiaux pour combattre et prévenir les menaces de la sandsomware, y compris celles liées au CRI”.

Les incidents de Ransomware ont entraîné une coupure critique des services et des entreprises à l'échelle mondiale, y compris les écoles, les bureaux gouvernementaux, les hôpitaux et les services d'urgence, les transports, l'énergie et les entreprises alimentaires. Les paiements déclarés des ranasomwares aux États-Unis ont dépassé 590 millions de dollars en 2021, contre un total de 416 millions de dollars en 2020. Le gouvernement américain estime que ces paiements ne représentent qu'une partie des dommages économiques causés par les cyberactivités malveillantes. En plus des millions de dollars payés directement en récompense et ancrés pour la réponse et la reprise, la rupture dans les secteurs critiques met en évidence les objectifs de ceux qui cherchent à armer la technologie pour le gain personnel, endommageant notre économie et endommageant les entreprises, les ménages et les individus qui en dépendent pour leur subsistance, leur épargne et leur avenir.

L'action d'aujourd'hui montre l'engagement du gouvernement américain à perturber ses infrastructures et les acteurs de la ranomware. Les États-Unis ne toléreront pas les activités informatiques malveillantes, y compris les activités de division de la cybercriminalité, victimisant l'épine dorsale de l'économie américaine et les infrastructures essentielles.

ACTE O CIBERNET UNITED LIBLE AVEC IGRC
Aujourd'hui, l'OFAC, dans le cadre d'une réponse gouvernementale, a pris des mesures contre un groupe de cyberacteurs malveillants basés en Iran qui ont compromis des réseaux basés aux États-Unis et dans d'autres pays depuis au moins 2020. Ce groupe lié à l'IRC est connu pour utiliser des faiblesses logicielles pour mener à bien ses activités de ransomware, ainsi que pour s'impliquer dans l'accès non autorisé à l'ordinateur, le dépôt de données et d'autres activités informatiques malveillantes. Les entreprises privées de cybersécurité prennent régulièrement des rendez-vous pour des campagnes cybernétiques spécifiques, et bien que les personnes sanctionnées aujourd'hui ne soient pas directement liées à un groupe appelé menaces avancées, certaines de leurs activités cybernétiques malveillantes peuvent être attribuées en partie à certains groupes d'intervention désignés, tels que “APT 35 , “Sex2>, “Kitten Nemesis”, “Fosfor” et “Tunnel Vision.

Ce groupe a lancé de vastes campagnes contre les organisations et les fonctionnaires du monde entier, en particulier auprès de la défense des États-Unis et du Moyen-Orient, du personnel diplomatique et gouvernemental, ainsi que des industries privées, notamment les médias, l'énergie, les services aux entreprises et les télécommunications.

En février 2021, ce groupe de cyberacteurs malveillants a victimisé une municipalité du New Jersey à travers un réseau informatique utilisant une vulnérabilité spécifique à Fortine. Ces acteurs ont utilisé leur accès pour créer des comptes non autorisés, élargir leurs privilèges et effectuer des mouvements latéraux dans d'autres parties du réseau. Ils ont également utilisé un représentant rapide inversé sur l'un des serveurs municipaux pour établir un accès continu à distance à un certain domaine qui a été enregistré par Mansour Ahmadi (Mansour). Le groupe a également créé des outils tels que Mimikatz et Filezilla pour faire avancer leur activité malveillante.

En mars et avril 2021, ce cybergroupe vicieux a lancé le premier groupe connu de leurs activités de chiffrement en compromettant les réseaux, en activant Microsoft BitLocker sans autorisation et en conservant les clés de l'acquisition pour rançon. Au cours de cette période, un certain nombre de petites entreprises ont été influencées, dont un studio juridique, un cabinet de comptabilité et un entrepreneur en construction.

En juin 2021, le groupe a obtenu un accès non autorisé aux systèmes de contrôle et de renseignement liés à un hôpital américain pour enfants. Après que le groupe a compromis le réseau, ils ont créé des comptes non autorisés, augmenté les privilèges, déplacé les côtés à travers le réseau, établi un accès continu, ekfilron données et codé au moins un appareil avec BitLocker. Les partenaires du gouvernement américain chargés de l'application de la loi ont présenté un rapport à l'hôpital pour enfants avant d'avoir une incidence sur les soins aux patients ou les services médicaux.

De juin à août 2021, le groupe a accéléré son activité malveillante en ciblant un large éventail de victimes basées aux États-Unis, y compris les fournisseurs de transport, les pratiques de soins de santé, les fournisseurs de services d'urgence et les établissements d'enseignement. Les organismes gouvernementaux américains ont été en mesure d'avertir les victimes potentielles de cette activité et de prévenir ou de faciliter les dommages ou les compromis des réseaux informatiques dans de nombreux cas.

De septembre 2021 à aujourd'hui, ce groupe a obtenu principalement un accès non autorisé aux réseaux des victimes en exploitant les faiblesses de Microsoft Exchange et liées à ProxyShell, y compris un incident en octobre 2021 lorsqu'ils ont compromis le réseau d'une entreprise de services électriques desservant une zone rurale des États-Unis. et a utilisé la mauvaise intention de BitLocker pour arrêter les opérations.

Ce groupe relié à IRC se compose d'employés et associés de Najee Technology Hooshmand Futter LLC et Afcar System Yazd Company. Mansour est propriétaire, gérant et président du Conseil technologique de Naje. Ahmad Khatib Agda (Kahatib) est le gestionnaire et membre du conseil d'administration du système Afkar. Les travailleurs et autres associés du système Najee Technology et/ou Afkar sont : Ali Agga-Ahmadi (Ali Ahmad); Mohammad Aga Ahmadi (Mohammed Ahmad); Mojin Mahdavi (Mehdavi); Aliakbar Rashidi-Barjini (Rashid); Amir Josein Nikaeen Ravari (Nikaeen); Mostafa Hazi Hossain (Mostafa); Mojtaba Haxhi Hosseyin (Mojtaba); Mohammad Shakeri-Astijeh (Saker).

Khataib est lié au système Afkar depuis au moins 2007 et est gestionnaire et membre du conseil d'administration. Khatib fait partie des cyberacteurs qui ont obtenu un accès non autorisé aux réseaux des victimes pour télécharger le réseau BitLocker et demander une récompense pour les clés de déchiffrement. Il a loué l'infrastructure de réseau utilisée pour faire avancer les activités de ce cybergroupe malveillant, il a participé à compromettre les réseaux des victimes et a entamé les négociations de rançon avec les victimes.

Nikaeen était un employé d'Afkar System entre 2015 et au moins 2019. Nikaeen a loué et enregistré l'infrastructure de réseau utilisée pour promouvoir les activités de ce groupe cybernétique vicieux et a participé à compromettre les réseaux des victimes.

Ali Ahmad est employé de Najee Technology depuis au moins 2019. Rashid travaillait pour Mansour au moins depuis février 2021.

Les travailleurs liés à IRC-Mansour, Ali Ahmad, Mohammad Ahmad, Mahdavid, Rashid, Khatib, Nikaeen, Mostafa, Mojataba et Shackeri- des entreprises associées à IRC, Najee Technology et Afkar System sont responsables ou complices, ou sont impliqués, directement ou indirectement, dans le ciblage mondial de divers réseaux, y compris les infrastructures essentielles, exploitant des faiblesses connues pour avoir accès initialement à des activités mal intentionnelles, y compris des opérations de rançon.

Mansour, Ali Ahmad, Mohammad Ahmad, Mahdavi, Rashid, Khatib, Nikaeen, Mostafa, Mojtaba et Shackeri ont été nommés conformément à l'ordre exécutif (EO) 13694, changés, pour être responsables ou collaborateurs, soit en se livrant, directement ou indirectement, à une éventuelle cyberactivité identifiée à la base de l'OE 13694, changés.

Najee Technology a été assignée conformément à l'OE 13694, modifié, pour aider matériellement, parrainer ou fournir un soutien financier, matériel ou technologique, ou des biens ou services pour ou à l'appui d'une activité cyber-utile identifiée conformément à l'OE 13694, modifié.

Le système Afkar a été désigné sous OE 13694, modifié, pour être détenu ou contrôlé par, ou pour agir sur l'un ou l'autre nom, directement ou indirectement, Khatib, une personne dont les biens et les intérêts sont bloqués sur la base de OE 13694, changé.

En plus d'imposer des sanctions, le bureau du procureur américain pour le district du New Jersey a ouvert un acte d'accusation accusant Mansour, Khatib et Nikaeen d'avoir violé la loi sur la tromperie et l'abus informatique (CFAA) et comploté pour violer l'ACFA.

Le programme de récompenses de l'État (RFJ) offre une récompense pouvant aller jusqu'à 10 millions de dollars pour des informations qui permettent à Mansour d'identifier ou de localiser Khatib, Nikaeen ou toute autre personne agissant dans le sens ou le contrôle d'un étranger. Le gouvernement, participe à des activités informatiques malveillantes contre les infrastructures critiques américaines en opposition à la FCAA.

De plus, un conseil conjoint pour la cybersécurité (CSA) ) résulte d'un effort d'analyse entre le Département du Trésor, le FBI, la NSA, l'USSCYBERCOM, le Centre australien de cybersécurité (ACSC), le Centre canadien pour la cybersécurité (CCCS) et le Centre national de cybersécurité du Royaume-Uni (NCSC) a été publié pour mettre en lumière les activités malveillantes continues des acteurs avancés de la menace permanente (APT) que les organismes auteurs estiment être liées à IRC.

SANXION DES EFFETS
À la suite de l'action d'aujourd'hui, tous les biens et intérêts sur les biens des personnes décrites ci-dessus aux États-Unis sont bloqués et signalés à l'OFAC. De plus, tout sujet appartenant directement ou indirectement, individuellement ou au total, à 50 % ou plus par une ou plusieurs personnes bloquées sont également bloqués. Toutes les transactions effectuées par des personnes américaines ou à l'intérieur (ou en transit) des États-Unis concernant des biens ou des intérêts sur les biens de personnes désignées ou bloquées sont interdites, à moins qu'elles ne soient autorisées par une licence générale ou spécifique délivrée par l'OFAC ou exclue. Les interdictions comprennent les contributions ou l'offre de fonds, de biens ou de services, soit au profit de toute personne bloquée, soit les contributions ou l'offre de fonds, de biens ou de services de cette personne. En outre, les institutions financières et les autres personnes qui se livrent à des transactions ou à des activités spécifiques avec des sujets ou des personnes sanctionnées peuvent être exposées à des sanctions ou faire l'objet d'une action permanente.

Le pouvoir et l'intégrité des sanctions de l'OFAC découlent non seulement de la capacité de l'OFAC de nommer et d'ajouter des personnes à la Liste de la DSN, mais aussi de sa disponibilité à retirer des personnes de la Liste de la DSN conformément à la loi. Le but final des sanctions n'est pas de punir, mais d'apporter un changement positif de comportement. Pour obtenir des renseignements sur le processus de recherche à supprimer d'une liste O AEC, y compris la liste DSN, veuillez consulter la question souvent faite 897 OFAC ici. Pour obtenir des renseignements détaillés sur le processus, vous devez présenter une demande de radiation de la liste des sanctions de l'OFAC.

Cliquez ici pour plus d'information sur les personnes et les sujets désignés aujourd'hui.

Examinez la mise à jour des conseils de l'OFAC sur le risque de sanctions possibles pour l'assouplissement des paiements Ransomware ici, pour des informations sur les mesures que l'OFAC considérerait comme un facteur facilitateur dans toute mesure de mise en oeuvre liée aux paiements de sandsomware avec un risque possible de sanctions. Pour plus d'informations sur le respect des sanctions applicables à la monnaie virtuelle, voir le Guide de stabilité avec les sanctions OFAC pour l'industrie de la monnaie virtuelle ici.