Les serveurs d'une chaîne de cliniques de chirurgie esthétique lituanienne (Grozio Chirurgija) ont reçu la visite inopinée de pirates informatiques plus tôt cette année. Une révélation tardive alors que les autorités locales évoquent l'exfiltration et la publication de plus de 25 000 photos privées - dont des photos nues - et données personnelles de clients.
Ce piratage affecte des patients originaires d'une soixantaine de pays dans le monde dont en Allemagne, Danemark, Norvège, Royaume-Uni et divers pays européens. Le Daily Mail fait en outre mention de quelques célébrités parmi les victimes.
L'intrusion informatique et une tentative d'extorsion seraient l'œuvre d'un groupe se présentant sous l'identité de Tsar Team. Sans succès, il a tenté de faire chanter la clinique Grozio Chirurgija en exigeant la somme de 300 bitcoins (plus de 630 000 €) pour empêcher la publication des données dérobées.
Des victimes ont également fait ultérieurement l'objet d'un chantage avec des sommes demandées variant entre 50 € et 2 000 € (en bitcoins). Le Guardian indique que la base de données complète volée se monnaye désormais sur le marché noir pour une cinquantaine de bitcoins (plus de 105 000 €).
Malgré l'impact international de l'affaire, la clinique Grozio Chirurgija - qui présente ses excuses - publie sur son site une information à ce sujet qui n'est disponible que dans une version en lituanien. Il est notamment évoqué un travail avec les autorités, tandis qu'un lien aiguille vers le formulaire de demande de suppression de contenus indexés par Google (en Europe).
Le nom de Tsar Team n'est pas inconnu. C'est une identité jadis utilisée par le groupe de cyberespionnage APT28 alias Fancy Bear. Pour autant, il est peu probable que le groupe Fancy Bear, qui serait lié aux services militaires russes, soit impliqué. L'emprunt du nom Tsar Team pourrait être une sorte d'hommage ou tentative d'intimidation.