وفقًا لوكالة أسوشيتد برس، وجهت هيئة محلفين كبرى في مدينة كانساس سيتي لائحة الاتهام إلى ريم جونغ هيوك، وهو مسؤول استخباراتي كوري شمالي يُزعم أنه استخدم برامج الفدية لمهاجمة أنظمة مقدمي الرعاية الصحية في الولايات المتحدة.
وقالت وزارة الخارجية إن ريم كان جزءا من مجموعة تدعى أندارييل، والتي يسيطر عليها مكتب الاستطلاع العام في كوريا الشمالية. ريم ليست محتجزة لدى الحكومة الأمريكية.
وتقدم الوكالة الآن مكافأة قدرها 10 ملايين دولار مقابل معلومات تؤدي إلى موقعها أو موقع عميل أجنبي “متورط في بعض الأنشطة السيبرانية الخبيثة ضد البنية التحتية الحيوية للولايات المتحدة”.
وفي عام 2021، نبه مركز طبي في كانساس مكتب التحقيقات الفيدرالي إلى هجوم منع الموظفين من الوصول إلى سجلات المرضى ونتائج الاختبارات المعملية، كما منعهم من تشغيل معدات المستشفى على أجهزة الكمبيوتر الخاصة بهم. إنه تكتيك شائع تستخدمه مجموعة Andariel التابعة لـ Rim، والذي يخترق نظام الكمبيوتر ويصيبه ببرنامج طلب الفدية Maui. ثم تطالب المجموعة بالدفع من هدفها وتهدد بالكشف عن معلومات سرية إذا لم يدفعوا. وفي حالة مستشفى كانساس، طالبت المجموعة بفدية قدرها 100 ألف دولار من البيتكوين خلال 48 ساعة. ويقال إن المجموعة استخدمت الأموال التي تلقتها لشراء أجهزة كمبيوتر وخوادم إضافية لتمويل المزيد من الهجمات السيبرانية.
أصدر مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) ووزارة الخزانة تنبيهًا مشتركًا للأمن السيبراني في ضوء هجمات Andariel على مقدمي الرعاية الصحية في عام 2022. وكتبوا: “من المحتمل أن تفترض الجهات الفاعلة السيبرانية التي ترعاها الدولة في كوريا الشمالية أن المنظمات الصحية… وزارة الصحة مستعدة لدفع فدية لأن هذه المنظمات تقدم خدمات حيوية لحياة الناس وصحتهم. وقال المحققون الفيدراليون إنهم تتبعوا”. فدية دفعها مركز كانساس الطبي من خلال blockchain ووجدت أن شخصًا ما قام بنقل عملة البيتكوين إلى عنوان مواطن في هونج كونج. واستنادًا إلى وثائق المحكمة التي اطلعت عليها وكالة أسوشيتد برس، تم تحويل الأموال بعد ذلك إلى بنك صيني وسحبها من ماكينة الصراف الآلي في الصين بالقرب من جسر الصداقة بين الصين وكوريا، الذي يربط البلاد بكوريا الشمالية.
واتهم أندارييل وريم باختراق 17 شركة في 11 ولاية، بما في ذلك أربعة مقاولين دفاعيين وقاعدتين للقوات الجوية الأمريكية ووكالة ناسا. وبحسب ما ورد تمكنت المجموعة من البقاء في نظام الكمبيوتر التابع لناسا لمدة ثلاثة أشهر وسرقة 17 جيجابايت من المعلومات السرية. وخلال إحدى عملياتها ضد مقاول دفاع أمريكي في نوفمبر 2022، تمكنت المجموعة أيضًا من استخراج أكثر من 30 غيغابايت من البيانات، بما في ذلك معلومات حول المواد المستخدمة في الطائرات العسكرية والأقمار الصناعية الأمريكية، وفقًا لوزارة الخارجية.
