L'organisation de ransomware Qilin a lancé une attaque de supply chain "Korean Leaks" contre le secteur financier sud-coréen ! 28 entreprises touchées, 2 To de données sensibles divulguées.

Qilin, une organisation de ransomware notoire, a lancé une attaque de chaîne d’approvisionnement sous le nom de code « Korean Leaks » en pénétrant avec succès dans GJTec, un fournisseur de services d’hébergement informatique en Corée du Sud, qui a volé 28 institutions financières sud-coréennes en une seule fois, totalisant plus d’un million de fichiers et 2 To de données sensibles. (Synopsis : Société de sécurité : les pirates nord-coréens ont infiltré 15 ~ 20 % des sociétés de crypto-monnaie) (Supplément de contexte : Le projet d’IA Port3 cross-chain bridge a été violé : les pirates ont imprimé 1 milliard de pièces et les ont vendues, et le prix des pièces s’est effondré de 80 %) Selon The Hacker News, la célèbre organisation de ransomware Qilin a lancé une attaque de chaîne d’approvisionnement nommée « Korean Leaks » en réussissant à violer GJTec, un fournisseur de services d’hébergement informatique en Corée du Sud, et en a fait 28 à la fois Au total, plus d’un million de fichiers et 2 To d’informations sensibles ont été volés dans des institutions financières coréennes. Il s’agit de la pire cybercrise pour le secteur financier sud-coréen depuis 2025. Qui est le meurtrier ? Qui sont les victimes ? Le cerveau est le groupe de ransomware de renommée internationale Qilin (également connu sous le nom d’Agenda), un groupe de ransomware-as-a-service (RaaS) extrêmement actif, très probablement d’origine russe, mais ils se qualifient eux-mêmes d'« activistes politiques ». Cette année, Qilin est devenu le groupe de ransomware le plus actif au monde, affirmant avoir attaqué plus de 180 cibles rien qu’en octobre. En particulier, cette opération est susceptible d’impliquer le groupe de hackers soutenu par l’État nord-coréen (nord-coréen) « Moonstone Sleet », formant un modèle conjoint rare de « groupe criminel + hacker d’État ». Les victimes étaient toutes des sociétés de gestion d’actifs coréennes, y compris LX, Human, Bridge, Majesty et d’autres opérateurs bien connus, soit un total de 28. Les pirates ont non seulement crypté les ordinateurs des entreprises victimes, mais ont également volé des informations sur les clients, des e-mails internes, des portefeuilles d’investissement et même des preuves soupçonnées d’être impliquées dans des manipulations boursières. Comment les pirates s’y prennent-ils ? Selon l’enquête, les pirates n’ont pénétré qu’un fournisseur de services informatiques appelé GJTec, qui se spécialise dans l’aide aux petites et moyennes institutions financières pour gérer les ordinateurs, sauvegarder les données et entretenir les systèmes. Après le piratage de GJTec, les pirates se sont directement connectés aux systèmes de 28 clients, ont déployé le ransomware Qilin et ont commencé la double extorsion : divulguer des données sans payer + détruire le système. Il convient de mentionner que l’ensemble de l’opération a permis de divulguer des données sur le dark web en trois vagues : Première vague : 14 septembre 2025, 10 victimes Deuxième vague : 17-19 septembre 2025, 9 victimes Troisième vague : 28 septembre-4 octobre 2025, 9 victimes Il convient de noter que lorsque les pirates ont divulgué des données lors des deux premières vagues, ils étaient pleins de propagande politique, affirmant « exposer la corruption financière en Corée du Sud », « pourrait frapper durement le marché boursier sud-coréen », et ont même nommé « des personnalités politiques et commerciales bien connues ». Ce n’est qu’au cours de la troisième vague que le ton traditionnel du chantage a été rétabli, indiquant que différentes forces peuvent manipuler le message qui se cache derrière. Quelle était la gravité de cette attaque ? 2 To de données semblent abstraits, mais cela se traduit par des millions de contrats, de numéros d’identification de clients, de comptes bancaires et de dossiers d’investissement volés. Une fois qu’ils sont tous rendus publics, ils peuvent avoir de graves conséquences, notamment : La fuite d’informations personnelles des clients conduit à la fraude et au vol d’identité Des preuves de manipulation boursière sont exposées, provoquant une panique boursière et même un désastre boursier Les institutions financières sont lourdement condamnées à des amendes par les unités réglementaires, et les clients réclament collectivement une indemnisation La réputation financière globale de la Corée du Sud est endommagée et les investissements étrangers sont découragés Plus dangereusement, cela montre que les « attaques de la chaîne d’approvisionnement » sont devenues le nouveau favori des pirates informatiques : sans combattre un par un, tant que vous percez les fournisseurs de services informatiques au milieu, vous pouvez récolter des dizaines, voire des centaines d’entreprises à la fois, avec de faibles coûts et des rendements élevés. Comment les entreprises générales se protègent-elles ? Face à cette attaque, les mesures suivantes peuvent être prises pour éviter efficacement les intrusions : Assurez-vous de signer une « clause de responsabilité de sécurité » avec tous les fournisseurs informatiques externes, les obligeant à forcer l’authentification multifactorielle (MFA) et à effectuer régulièrement des analyses de vulnérabilité. Ne mettez pas toutes les informations importantes dans le même système, utilisez le « principe du moindre privilège » : celui qui n’a pas besoin de les voir ne le montre pas. Les données clés doivent être « sauvegardées hors site » et « stockées hors ligne », même si le pirate crypte l’hôte. Simulez régulièrement des exercices de « piratage par le fournisseur » pour voir si vous pouvez rapidement déconnecter et récupérer votre système. Selon les rumeurs, DWF Labs aurait été pillé pour 44 millions de dollars par des pirates nord-coréens, mais il a été caché jusqu’à présent ! ZachXBT : Pas surprenant du tout Un autre piratage du protocole DeFi ? Accord de prêt Moonwell est soupçonné d’avoir été piraté, perdant plus de 1 million de dollars Mourir de rire ! Les pirates d’UXLINK ont volé 11,3 millions de dollars américains, mais ont été attaqués par hameçonnage, et le cercle monétaire était noir et inévitable [L’organisation de ransomware Qilin a lancé une attaque de la chaîne d’approvisionnement « Korean Leaks » contre le secteur financier sud-coréen ! 28 opérateurs recrutés, 2 To de données sensibles divulguées » Cet article a été publié pour la première fois dans « Dynamic Trend - The Most Influential Blockchain News Media » de BlockTempo.