Dans une annonce faite mercredi, le Trésor américain a déclaré que les personnes et les entreprises du groupe de ransomware étaient affiliées au Corps des gardiens de la révolution islamique d'Iran, une branche de l'armée du pays. Le groupe aurait « mené une gamme variée d'activités cybernétiques malveillantes», notamment en compromettant les systèmes d'un hôpital pour enfants basé aux États-Unis en juin 2021 et en ciblant « le personnel militaire, diplomatique et gouvernemental des États-Unis et du Moyen-Orient».
L'OFAC a répertorié 7 adresses Bitcoin (BTC) prétendument liées à deux des ressortissants iraniens - Ahmad Khatibi Aghada et Amir Hossein Nikaeed Ravar - dans le cadre de ses sanctions secondaires. Selon le département du Trésor, Khatibi est associé à la société de technologie et de services informatiques Afkar System - l'une des deux entités sanctionnées dans la même annonce - depuis 2007. Le département gouvernemental a allégué que Nikaeed a « loué et enregistré une infrastructure de réseau» pour aider le groupe de ransomware.
«Les acteurs du ransomware et autres cybercriminels, quelle que soit leur origine nationale ou leur base d'opérations, ont ciblé des entreprises et des infrastructures critiques dans tous les domaines - menaçant directement la sécurité physique et l'économie des États-Unis et d'autres nations», a déclaré Brian Nelson, sous-secrétaire du Trésor pour le terrorisme et le renseignement financier. « Nous continuerons à prendre des mesures de coordination avec nos partenaires mondiaux pour combattre et dissuader les menaces de ransomware. »
In a coordinated action across the U.S. Government, OFAC designated a dozen Iran-based persons for their roles in malicious cyber acts, including ransomware activity. The U.S., Australia, Canada & the UK are also publishing a joint cyber security advisory. https://t.co/OVnr3jprBA
— Treasury Department (@USTreasury) September 14, 2022
Dans le cadre d'une action coordonnée à l'échelle du gouvernement américain, l'OFAC a identifié une douzaine de personnes basées en Iran pour leur rôle dans des cyber-actions malveillantes, y compris des activités de ransomware. Les États-Unis, l'Australie, le Canada et le Royaume-Uni publient également un avis conjoint de cybersécurité. https://t.co/OVnr3jprBA - Département du Trésor (@USTreasury) 14 septembre 2022.
Cet avis est intervenu alors que le ministère de la Justice a annoncé une mise en accusation de Khatibi, Nikaeed et Mansour Ahmadi - qui fait également partie des personnes figurant sur la liste des sanctions de l'OFAC - pour avoir prétendument « orchestré un plan visant à pirater les réseaux informatiques» d'entités et de personnes aux États-Unis, y compris les attaques citées par le Trésor. Selon le ministère de la Justice, le groupe iranien de ransomware a ciblé un cabinet d'expertise comptable basé dans le New Jersey en février 2022, Khatibi exigeant 50 000 dollars en cryptomonnaie en échange de ne pas vendre les données de l'entreprise sur le marché noir.
À lire également : La cryptomonnaie Monero est privilégiée pour les attaques de ransomware qui ont augmenté de 500 %
Le 8 août, l'OFAC a ajouté plus de 40 adresses de cryptomonnaies liées au mélangeur controversé Tornado Cash à sa liste de ressortissants spécialement identifiés, ce qui a suscité des critiques de la part de nombreuses personnalités dans et hors de l'espace. Le Trésor a précisé mardi que les personnes et les entités américaines n'étaient pas interdites de partager le code de Tornado Cash, mais qu'elles avaient besoin d'une licence spéciale pour effectuer des transactions initiées avant l'imposition des sanctions ou pour effectuer des retraits.