Selon Symantec, plus d’une centaine d’organisations issues de 31 pays ont été victimes de tentatives de cyberattaques depuis octobre dernier. Les pirates ont utilisé des sites Web compromis ou des attaques par « point d’eau » (qui consiste à piéger un site Internet légitime afin d’infecter les machines des visiteur pour contaminer des cibles présélectionnées).

Parmi les victimes, une banque polonaise a décelé un logiciel malveillant sur un certain de ses ordinateurs et a partagé des indicateurs de compromis (COI) avec d’autres institutions. Elles ont ainsi pu découvrir qu’elles avaient également été exposées. Aucune preuve ne laisse toutefois penser que des fonds aient été dérobés.

Le logiciel malveillant utilisé dans ces attaques a été repéré par la détection générique de Symantec, conçue pour bloquer tous les fichiers considérés comme malveillants. L’éditeur affirme avoir bloqué depuis octobre 2016 plusieurs attaques effectuées par le même kit que celui qui a infecté les banques polonaises : 14 au Mexique, 11 en Uruguay et 2 autres en Pologne. L’analyse de ces attaques sont toujours en cours, mais certaines chaînes de code utilisées dans le malware auraient des similitudes avec celles utilisées par « Lazarus », le groupe de cybercriminels qui a perpétré les attaques contre Sony et que le FBI suspecte d’être employé par le gouvernement nord-coréen.