Des hackers russes et nord-coréens ont volé 2 To de données auprès des banques sud-coréennes.

Le secteur financier de la Corée du Sud a été touché par l'une des cyberattaques les plus dévastatrices de ces dernières années. Selon la société de cybersécurité Bitdefender, le pays est devenu la cible d'une attaque coordonnée de la chaîne d'approvisionnement impliquant des acteurs malveillants liés à la Russie et à la Corée du Nord, entraînant le déploiement du ransomware Qilin et le vol de plus de 2 téraoctets de données auprès de 28 victimes, dont la plupart se trouvent dans l'industrie des services financiers. Les enquêteurs ont découvert que l'attaque n'était pas un incident isolé mais faisait partie d'une vaste campagne multi-phases connue sous le nom de fuites coréennes, qui a fusionné des techniques de ransomware avancées avec de la propagande politique et une exploitation ciblée des vulnérabilités de la chaîne d'approvisionnement.

Une augmentation soudaine : de 2 incidents par mois à 25 en septembre Bitdefender a commencé à enquêter après avoir détecté une augmentation inhabituelle de l'activité des rançongiciels en septembre :

25 cas de ransomware ont été signalés ce mois-là, comparativement aux deux incidents mensuels habituels enregistrés entre septembre 2024 et août de cette année. Parmi ces attaques, 24 ont visé des organisations financières, mettant en évidence un haut degré de planification et de coordination. Selon les dernières données, la Corée du Sud est désormais le deuxième pays le plus ciblé au monde par les attaques par ransomware, derrière seulement les États-Unis.

Qilin : l'un des groupes de rançongiciels les plus agressifs de 2024 Le groupe ransomware Qilin, opérant selon le modèle Ransomware-as-a-Service, est l'un des acteurs de menace les plus actifs de l'année. En octobre seulement, Qilin a été responsable de plus de 180 victimes, et selon le NCC Group, il est à l'origine de 29 % de toutes les attaques de ransomware dans le monde. L'analyse de Bitdefender indique que Qilin a des racines russes : le membre fondateur BianLian communique en russe et en anglais, est actif sur des forums de cybercriminalité en langue russe, et le groupe évite d'attaquer des organisations dans les pays de la CEI — une règle courante parmi les syndicats de cybercriminalité russes. La structure interne de Qilin est hautement organisée : il recrute des hackers externes pour mener des attaques, les opérateurs principaux prennent un pourcentage des paiements de rançon, et le groupe maintient même une “équipe de journalistes internes” qui rédige des messages d'extorsion et de la propagande pour sa plateforme de fuite. Propagande et guerre psychologique : des hackers se faisant passer pour des « activistes » Le rapport sur les fuites coréennes de Bitdefender révèle que la campagne n'était pas une opération de ransomware standard. Les attaquants ont mélangé cybercriminalité et messages politiques, utilisant : un langage de style activiste, une rhétorique patriotique et nationaliste, et des références répétées au partage des données volées avec la direction nord-coréenne. Une communication divulguée a déclaré : « Un rapport sur les documents découverts est déjà en cours de préparation pour le camarade Kim Jong-un. » Cette fusion de la propagande avec des tactiques de ransomware indique une opération hybride qui va au-delà des motifs criminels conventionnels.

Trois vagues d'attaque : Plus d'un million de fichiers et 2 To de données volées La campagne Korean Leaks s'est déroulée en trois vagues distinctes : 14 septembre – première vague visant 10 entreprises de gestion financière 17–19 septembre – deuxième vague ajoutant 9 victimes supplémentaires 28 septembre – 4 octobre – troisième vague visant 9 organisations supplémentaires Au total, les attaquants ont volé plus de 1 million de fichiers et 2 To de données sensibles.

Quatre noms d'entreprise supplémentaires ont ensuite été supprimés du site de fuite de Qilin, probablement en raison de paiements de rançon ou de décisions internes des opérateurs. Lors de la deuxième vague, les hackers ont lancé une menace glaçante : « Nous avons des données qui porteront un coup sévère à l'ensemble du marché coréen. Si le paiement n'est pas effectué, nous les publierons. »

Violation de la chaîne d'approvisionnement : Le point d'entrée principal Selon des reportages de JoongAng Daily, plus de 20 sociétés de gestion d'actifs ont été compromises après que des pirates ont pénétré GJTec, un fournisseur de services gérés.

Cela souligne encore une fois comment les attaques de la chaîne d'approvisionnement peuvent amplifier les dommages dans tout un secteur.

Conclusion : une opération hybride mêlant des techniques russes et des messages nord-coréens L'attaque Korean Leaks se classe parmi les opérations de ransomware les plus significatives de l'année — non seulement en raison du volume de données volées, mais aussi en raison de la nature hybride de la campagne, qui a fusionné ransomware, tactiques d'influence politique et exploitation systématique des faiblesses de la chaîne d'approvisionnement. Les experts avertissent que cet incident est un rappel saisissant d'une tendance mondiale croissante :

Les groupes de cybersécurité liés à l'État privilégient de plus en plus l'infiltration de la chaîne d'approvisionnement comme principal vecteur d'attaque.

#cyberattack , #CyberSecurity , #russia , #GlobalSecurity , #CryptoNews

Restez un pas en avant – suivez notre profil et restez informé de tout ce qui est important dans le monde des cryptomonnaies ! Avis : ,Les informations et les opinions présentées dans cet article sont uniquement destinées à des fins éducatives et ne doivent pas être considérées comme des conseils d'investissement dans aucune situation. Le contenu de ces pages ne doit pas être considéré comme des conseils financiers, d'investissement ou toute autre forme de conseil. Nous mettons en garde que l'investissement dans les cryptomonnaies peut être risqué et peut entraîner des pertes financières.“