Twee Iraanse hackers die woensdag in een federale aanklacht zijn aangeklaagd, werden beschuldigd van het aanvallen van computernetwerken van ziekenhuizen en andere doelen in 43 staten, een brede criminele afpersingscampagne die een hartziekenhuis in Kansas overrompelde en een van 's lands grootste diagnostische bloedtestbedrijven in North Carolina ontwrichtte.

Federale aanklagers zeiden dat de drie jaar durende cybercriminaliteit voor tientallen miljoenen dollars aan schade van kust tot kust heeft veroorzaakt. Het was de eerste Amerikaanse aanklacht tegen buitenlandse hackers die betrokken waren bij een winstgevend ransomware- en afpersingsschema.

De twee hackers ontwikkelden unieke tools om Amerikaanse computernetwerken te gijzelen vanuit Iran, zeiden aanklagers. De twee Iraniërs, Faramarz Shahi Savandi, 34, en Mohammad Mehdi Shah Mansouri, 27, vrij blijven, vermoedelijk in hun thuisland, zeiden ambtenaren.

Assistent-procureur-generaal Brian A. Benczkowski ontweek een vraag of de Iraanse regering de twee sponsorde, alleen zeggende dat de aanklacht een dergelijke bewering niet bevat.

De driejarige ransomwarecampagne trof minstens 200 slachtoffers in de Verenigde Staten, het verzamelen van meer dan $ 6 miljoen aan afpersingsbetalingen en het veroorzaken van meer dan $ 30 miljoen aan verliezen, Dat zei plaatsvervangend procureur-generaal Rod J. Rosenstein.

Ransomware is computercode die gerichte systemen versleutelt en netwerken verlamt totdat de slachtoffers losgeld betalen, meestal in een digitale valuta zoals Bitcoin.

De Iraanse ransomware, genaamd SamSam, is sinds begin 2016 in gebruik.

In een van de eerste vermeende acties van het Iraanse team in 2016, het raakte de computers van het 54 bedden tellende Kansas Heart Hospital in Wichita, die gespecialiseerde cardiovasculaire zorg biedt aan patiënten in heel Kansas en het noorden van Oklahoma.

Persberichten zeiden destijds dat Kansas Heart Hospital een niet nader genoemd losgeld betaalde, vervolgens geconfronteerd met nieuwe eisen van de hackers. Ziekenhuiswoordvoerster Joyce Heismeyer was niet direct bereikbaar.

De hackers hebben de netwerken van ten minste zes zorggerelateerde entiteiten doorbroken, waaronder Hollywood Presbyterian Hospital van Los Angeles en MedStar Health of Columbia, md.

Andere doelen van de campagne van de Iraniërs waren de netwerken van de steden Atlanta (versleuteld in maart) en Newark, NJ (april 2017), het Colorado Department of Transportation (19 februari, 2018) en de haven van San Diego (25 september, 2018).

Ambtenaren zeiden dat de hackers zowel de bedoeling hadden om verstoringen te veroorzaken en fysieke schade toe te brengen als om losgeld te innen. doelbewust gericht op zorginstellingen en ziekenhuizen.

"Veel van de slachtoffers waren openbare instanties met missies die betrekking hadden op het redden van levens en het uitvoeren van andere cruciale functies voor het Amerikaanse volk. ', zei plaatsvervangend procureur-generaal Rod Rosenstein.

Staten die lijden aan zes of meer aanvallen van SamSam zijn onder meer Californië, Texas, Florida, Georgië, Noord Carolina, Missouri en Illinois, volgens het ministerie van Justitie. Slechts zeven staten ontsnapten überhaupt aan een aanval. Het ministerie van Justitie heeft geen volledige lijst van alle bekende slachtoffers verstrekt, of zeg welke slachtoffers losgeld hebben betaald.

Sommige beveiligingsonderzoekers vroegen zich af of de aanklacht een deuk zou zijn in ransomware-aanvallen.

"De impact die deze aanklachten zullen hebben is onduidelijk aangezien de personen zich naar verluidt in Iran bevinden en nog steeds vrij rondlopen, " zei Kimberly Goody, een cybercrime-analist bij FireEye, een groot cyberbeveiligingsbedrijf.

Een van de meest recente aanvallen vond plaats op 14 juli tegen Laboratory Corporation of America, of LabCorp, een Burlington, NC, diagnostisch bedrijf dat meer dan 2,5 miljoen tests per week verwerkt, en heeft een patiëntendatabase van bijna de helft van de Amerikaanse bevolking. Zijn wereldwijde voetafdruk bereikt 127 landen.

Een woordvoerder van het bedrijf, Donald R. von Hagen, weigerde te zeggen hoeveel computers werden uitgeschakeld toen hackers op 14 juli het netwerk binnendrongen.

"Er is geen bewijs dat LabCorp-gegevens uit onze systemen zijn verwijderd, " LabCorp zei in een verklaring van 26 oktober. Het zei dat de aanval de toegang tot testresultaten voor een beperkte periode beïnvloedde, maar dat "de operaties binnen een paar dagen weer normaal waren."

Veel slachtoffers van SamSam hebben de aanvallen mogelijk voor zichzelf gehouden, de hackers betalen en bidden dat een sleutel zou worden aangeboden in ruil voor het decoderen van hun netwerken.

Terwijl een toenemend aantal slachtoffers van cybercriminaliteit naar de autoriteiten stapt, FBI-uitvoerend adjunct-directeur Amy S. Hess zei:"Ik vermoed dat het nog niet de meerderheid is."

Sofos, een in het Verenigd Koninkrijk gevestigd bedrijf voor beveiligingssoftware, die SamSam al bijna drie jaar volgt, zei deze maand dat een SamSam-aanval gemiddeld één keer per dag plaatsvindt. Er staat dat losgeld routinematig boven de $ 50 eist, 000.

Wat is er uniek aan de SamSam ransomware, deskundigen zeggen, is dat het op maat is gemaakt om een ​​cybercrimineel in staat te stellen een gericht netwerk in kaart te brengen en te verplaatsen, in tegenstelling tot andere ransomware die zich lukraak verspreidt in campagnes die grotendeels zichtbaar zijn voor software-engineers.

De Iraanse hackers hebben aangepaste websites opgezet op ondergrondse netwerken om slachtoffers technische ondersteuning te bieden bij het betalen van hun Bitcoin-losgeld.

In afzonderlijke maar gecoördineerde actie, het ministerie van Financiën heeft sancties opgelegd aan twee andere Iraniërs die naar eigen zeggen de uitwisseling van losgeldbetalingen van Bitcoin in Iraanse valuta hebben vergemakkelijkt. Treasury's Office of Foreign Assets Control, of OFAC, nam de ongebruikelijke stap om de digitale valuta-adressen te publiceren die de twee Iraniërs gebruikten en zei dat ze er minstens 7 hebben uitgevoerd, 000 transacties.

Aanklagers beweerden dat de Iraniërs Bitcoin-transacties gebruikten en communiceerden via TOR, een donkere webbrowser die volgens cybercriminelen de anonimiteit beschermt.

Maar Hess zei dat de FBI de digitale barrières kon doorbreken.

"Anonymizers maken je misschien niet zo anoniem als je denkt dat je bent, " ze zei.

Een expert op het gebied van digitale valuta, Yaya J. Fanusie, zei de sancties tegen de twee extra Iraniërs, Ali Khorashadizadeh en Mohammad Ghorbaniyan, was gericht op de bredere cybercriminele wereld.

"Deze acties zijn een signaal, " zei Fanusie, een voormalig CIA-analist, eraan toevoegend dat wetshandhavers zich aanpassen aan "opkomende financiële technologieën zoals cryptocurrency".

Fanusie zei dat terwijl criminelen Bitcoin kunnen opslaan in anonieme digitale portemonnees die zijn opgeslagen op digitale valuta-adressen, de beweging van digitale munten laat "een openbaar spoor achter dat iedereen kan volgen en analyseren".

© 2018 McClatchy Washington Bureau
Gedistribueerd door Tribune Content Agency, LLC.