Le ministère américain de la Justice (DoJ) a annoncé la saisie de 500 000 $ de Bitcoin à des pirates nord-coréens qui ont extorqué des paiements numériques à plusieurs organisations en utilisant une nouvelle souche de ransomware connue sous le nom de Maui.

« Les fonds saisis comprennent des rançons payées par des prestataires de soins de santé au Kansas et au Colorado », a déclaré le DoJ. a dit dans un communiqué publié mardi.

La récupération des rançons en bitcoins intervient après que l’agence a déclaré avoir pris le contrôle de deux comptes de crypto-monnaie qui ont été utilisés pour recevoir des paiements à hauteur de 100 000 $ et 120 000 $ des centres médicaux. Le DoJ n’a pas révélé d’où provenaient les autres paiements.

« Signaler les cyberincidents aux forces de l’ordre et coopérer aux enquêtes ne protège pas seulement les États-Unis, c’est aussi une bonne affaire », a déclaré le procureur général adjoint Matthew G. Olsen de la division de la sécurité nationale du DoJ. « Le remboursement à ces victimes de la rançon montre pourquoi il est payant de travailler avec les forces de l’ordre. »

Plus tôt ce mois-ci, les agences américaines de cybersécurité et de renseignement ont publié un avis conjoint attirant l’attention sur l’utilisation du rançongiciel Maui par des pirates informatiques soutenus par le gouvernement nord-coréen pour cibler le secteur de la santé depuis au moins mai 2021.

L’incident ciblant l’installation sans nom du Kansas se serait produit à peu près au même moment, incitant le Federal Bureau of Investigation (FBI) à découvrir la souche de ransomware inédite.

On ne sait pas actuellement comment la saisie a été orchestrée, mais il est possible qu’elle ait pu être réalisée en suivant les pistes de blanchiment d’argent jusqu’à un échange de crypto-monnaie qui propose des services de retrait pour convertir leurs produits illicites du bitcoin en monnaie fiduciaire.

Outre l’espionnage, les acteurs de la menace nord-coréens ont une longue histoire de direction de piratages motivés par des raisons financières pour la nation frappée par des sanctions de multiples façons, notamment en ciblant des sociétés de blockchain et en tirant parti des cambriolages de crypto-monnaie en utilisant des applications de portefeuille malveillantes et en exploitant des ponts d’actifs cryptographiques.

Vu sous cet angle, le rançongiciel ajoute encore une autre dimension à son approche à plusieurs volets consistant à générer des revenus illégaux qui contribuent à faire avancer ses priorités économiques et de sécurité.

La perturbation met en évidence le succès continu du gouvernement américain dans la répression des activités criminelles axées sur la cryptographie, lui permettant de récupérer les paiements de ransomware associés à DarkSide et REvil ainsi que les fonds volés dans le cadre du piratage Bitfinex de 2016.

Le développement fait également suite à une notification du FBI, qui a averti que les acteurs de la menace offrent aux victimes ce qui semble être des services d’investissement d’entreprises légitimes pour les inciter à télécharger des applications malveillantes visant à les escroquer.