Qui est le hacker présumé de Medibank Aleksandr Ermakov?

Les autorités australiennes, britanniques et américaines ont imposé cette semaine des sanctions financières à un Russe accusé d'avoir volé des données sur près de 10 millions de clients du géant australien de l'assurance maladie Medibank. 33 ans Alexandre Ermakov aurait volé et divulgué les données de Medibank alors qu'il travaillait avec l'un des groupes de ransomwares les plus destructeurs de Russie, mais peu de choses sont partagées sur l'accusé. Voici un aperçu des activités des présumés pirates informatiques de M. Ermakov.

Alexandre Ermakov, 33 ans, de Russie. Image: Ministère australien des Affaires étrangères et du Commerce.

Les allégations contre Ermakov marquent la première fois que l'Australie sanctionne un cybercriminel. Les documents publiés par le gouvernement australien comprenaient plusieurs photos de M. Ermakov, et il était clair qu'ils voulaient envoyer le message que c'était personnel.

Ce n'est pas difficile de comprendre pourquoi. Les attaquants qui ont fait irruption dans Medibank en octobre 2022 ont volé 9,7 millions de dossiers sur des clients actuels et anciens de Medibank. Lorsque l'entreprise a refusé de payer une demande de rançon de 10 millions de dollars, les pirates informatiques ont divulgué de manière sélective des dossiers de santé très sensibles, y compris ceux liés aux avortements, au VIH et à l'abus d'alcool.

Le gouvernement américain affirme qu'Ermakov et les autres acteurs derrière le piratage de Medibank seraient liés au gang de cybercriminalité soutenu par la Russie Insulte.

"REvil faisait partie des gangs de cybercriminels les plus notoires au monde jusqu'en juillet 2021, date à laquelle ils ont disparu. REvil est une opération de ransomware-as-a-service (RaaS) et généralement motivée par un gain financier,” un déclaration depuis le Département du Trésor des États-Unis lit. "Le ransomware REvil a été déployé sur environ 175 000 ordinateurs dans le monde, avec au moins 200 millions de dollars de rançon versés.”

Les sanctions indiquent qu'Ermakov a utilisé plusieurs pseudonymes sur les forums russes sur la cybercriminalité, notamment GustavéDore, Jambons, et Blade Runner. Une recherche sur le pseudo GustaveDore à la plateforme de cyber intelligence Processeur Intel 471 montre que cet utilisateur a créé un programme d'affiliation ransomware en novembre 2021 appelé Sucre (alias Encoded01), qui se concentrait sur cibler des ordinateurs individuels et des utilisateurs finaux plutôt que des entreprises.

Une annonce pour le programme de ransomware en tant que service Sugar publiée par GustaveDore.

En novembre 2020, les analystes d'Intel 471 ont conclu que l'alias de GustaveDore JimJones " utilisait et exploitait plusieurs souches de ransomwares différentes, y compris une souche privée non divulguée et une développée par le gang REvil.”

En 2020, GustaveDore a annoncé sur plusieurs forums de discussion russes qu'il faisait partie d'une entreprise technologique russe appelée Chtazi, qui pourrait être embauché pour la programmation informatique, le développement Web et la " gestion de la réputation.” Le site Web de Shtazi est toujours opérationnel aujourd'hui.

Une version traduite par Google de Shtazi dot ru. Image: Archive.org.

Le troisième résultat actuellement lorsque l'on recherche shtazi[.] ru dans Google est un Instagram publication d'un utilisateur nommé Mikhaïl Borissovitch Chefel, qui promeut les services de Shtazi comme si c'était aussi son affaire. Si ce nom vous semble familier, c'est parce qu'en décembre 2023 KrebsOnSecurity identifié M. Shefel comme "Sauveteur"” l'identité cybercriminelle était liée à des dizaines de millions de cartes de paiement volées en 2013 et 2014 chez des détaillants à grande surface Cible et Dépôt à Domicile, entre autres.

Quel était le lien étroit entre GustaveDore et M. Shefel? La page des sanctions du Département du Trésor indique qu'Ermakov a utilisé l'adresse e-mail ae.ermak@yandex.ru. Une recherche pour cet e-mail à DomainTools.com montre qu'il a été utilisé pour enregistrer un seul nom de domaine: millioner1[.] avec. DomainTools constate en outre qu'un numéro de téléphone lié à M. Shefel (79856696666) a été utilisé pour enregistrer deux domaines: millioner[.] pw, et shtazi[.] filet.

L'histoire de décembre 2023 ici qui a révélé que M. Shefel en tant que Sauveteur a noté que Shefel a récemment changé son nom de famille en “Lénine, "et avait lancé un service appelé Lénine[.] moi qui ai vendu des billets en roubles physiques de l'ère de l'URSS qui portent l'image de Vladimir Lénine, le père fondateur de l'Union soviétique. Le compte Instagram de M. Shefel comprend des images de billets en roubles empilés de l'époque de l'URSS, ainsi que de multiples liens vers Shtazi.

Le compte Instagram de Mikhail Borisovich Shefel, alias MikeMike alias Rescator.

Dans un rapport publié cette semaine, Intel 471 a déclaré que les enquêteurs avaient connecté Ermakov à REvil parce que les données volées de Medibank avaient été publiées sur un blog qui avait été contrôlé une fois par des affiliés de REvil qui avaient mené des attaques et payé des frais d'affiliation au gang.

Mais au moment du piratage de Medibank, le groupe REvil s'était pour la plupart dispersé après une série d'attaques très médiatisées qui ont conduit le groupe à être perturbé par les forces de l'ordre. En Novembre 2021, Europol annoncé il a arrêté sept affiliés de REvil qui ont collectivement fait plus de 230 millions de dollars de demandes de rançon depuis 2019. Dans le même temps, les autorités américaines deux actes d'accusation non scellés contre deux accusés insultent les cybercriminels.

” La publication des données de Medibank sur ce blog indiquait cependant une connexion avec ce groupe, bien que la connexion ne soit pas claire à l'époque", a écrit Intel 471. "Cela a du sens rétrospectivement, car le groupe d'Ermakov avait également été affilié à REvil.”

Il est facile de rejeter de telles sanctions comme inefficaces, car tant que M. Ermakov reste en Russie, il n'a pas grand-chose à craindre d'être arrêté. Cependant, son rôle présumé en tant que membre apparent de haut rang de REvil décrit une cible sur lui comme quelqu'un qui possède probablement de grosses sommes de crypto-monnaie, dit Patrick Gris, le co-animateur australien et fondateur du podcast security news Entreprise Risquée.

“J'ai vu quelques personnes caca-caca les sanctions but mais la composante sanctions est en fait moins importante que la composante doxing”, a déclaré Gray. "Parce que ce gars est devenu beaucoup plus compliqué. Il va probablement devoir payer des pots-de-vin pour éviter les ennuis. Chaque criminel en Russie sait maintenant qu'il est un homme vulnérable de 33 ans avec une tonne absolue de bitcoin. Donc ce n'est pas un moment heureux pour lui.”



>>Plus