Le gouvernement australien a annoncé des sanctions contre Aleksandr Gennadievich Ermakov, un ressortissant russe considéré comme responsable du piratage de Medibank en 2022 et membre du groupe de rançongiciels REvil.
Medibank est un important fournisseur d’assurance maladie en Australie qui a subi une attaque de ransomware en octobre 2022, provoquant des perturbations opérationnelles et commerciales.
À la suite d’une enquête interne, il a été déterminé que des pirates informatiques avaient accédé à des trésors de données personnelles des clients. Début novembre 2022, l’attaquant a divulgué des données volées pour environ 10 millions de personnes.
Les données divulguées comprenaient des noms, des adresses électroniques, des numéros de téléphone, des adresses physiques, des numéros de passeport, des informations sur les allégations de santé et des détails sur les prestataires de soins de santé.
À la suite d’une longue enquête, les autorités australiennes ont identifié Ermakov comme la personne responsable du piratage de Medibank et du vol de données. Les autorités ont également associé plusieurs pseudonymes en ligne à Ermakov et publié des photos de l’individu.
Selon le dernier amendement du document de sanctions autonomes (version F2024L00099), Ermakov a utilisé plusieurs alias, dont GustaveDore, aiiis_ermak, blade_runner et JimJone.
Bien que l’on sache peu de choses sur Ermakov, Breachtrace a trouvé quelqu’un utilisant l’alias « GustaveDore » de l’acteur de la menace pour publier sur le forum russophone de piratage XSS et offrir des services de développement PHP.
Responsable de la cyberattaque la plus dommageable de l’histoire de l’Australie, comme l’ont qualifié les médias locaux, était un gang de ransomwares appelé « BlogXXX », que beaucoup pensaient être une relance de l’opération REvil qui avait cessé ses activités en octobre 2021.
Lors d’une conférence de presse à Canberra, le ministre australien de l’Intérieur et de la Cybersécurité a confirmé qu’Ermakov était membre de l’opération de ransomware REvil et qu’il ne faisait pas partie des personnes que la Russie a arrêtées début 2022 soupçonnées d’être membres du groupe REvil.
Bien qu’Ermakov puisse ne pas se soucier des sanctions ou trouver des moyens de les contourner, son activité illégale est susceptible de ressentir l’effet de ces restrictions. La responsable du Centre australien de cybersécurité, Abigail Bradshaw, explique que « les cybercriminels négocient l’anonymat. »
En le nommant, Ermakov ne peut plus opérer sans restriction. Son identité est désormais connue non seulement de « toutes les agences du monde entier, mais également de tous ceux qui cherchent à opérer avec lui », a déclaré le Vice-Premier ministre australien lors de la conférence.
Comme les sanctions en réponse au cyberincident privé de Medibank ont une composante financière, cela signifie que quiconque fournit des actifs à Ermakov, y compris des paiements en crypto-monnaie ou en ransomware, commettrait une infraction.
Le gouvernement australien estime que cela suffit à dissuader les autres de s’associer à Ermakov pour des gains financiers, qu’ils soient légaux ou non.