Un groupe de jeunes cybercriminels représente la « menace la plus imminente » des cyberattaques à l'heure actuelle

Des rayons de supermarché vides et des avions cloués au sol sont souvent le signe d'une crise, qu'il s'agisse d'un événement météorologique extrême , d'une crise de santé publique ou d'une urgence géopolitique . Mais ces scènes de chaos survenues ces dernières semaines au Royaume-Uni, aux États-Unis et au Canada ont plutôt été provoquées par des cyberattaques à motivation financière, apparemment perpétrées par un groupe d'adolescents amateurs de voitures volées.

Un groupe de cybercriminels notoire, souvent appelé Scattered Spider, est connu pour utiliser des techniques d'ingénierie sociale afin d'infiltrer des entreprises ciblées en trompant les employés du support informatique pour qu'ils leur accordent l'accès aux systèmes. Les chercheurs affirment que le groupe semble acquérir une expertise des systèmes back-end couramment utilisés par les entreprises d'un secteur particulier, puis utiliser cette connaissance pour cibler un groupe de cibles avant de passer à un autre secteur. Le groupe déploie souvent des rançongiciels ou mène des attaques d'extorsion de données une fois ses victimes compromises.

Face à la pression croissante des forces de l'ordre l'an dernier, qui a abouti à l'inculpation et à l'arrestation de cinq suspects soupçonnés d'être liés à Scattered Spider, les chercheurs affirment que le groupe était moins actif en 2024 et semblait chercher à faire profil bas. L'escalade des attaques du groupe ces dernières semaines montre cependant que, loin d'être vaincu, Scattered Spider est de nouveau enhardi.

« Scattered Spider possède des acteurs particulièrement compétents en matière d'ingénierie sociale. Ils ont identifié une faille majeure dans nos systèmes de sécurité et en profitent avec succès », explique John Hultquist, analyste en chef au sein du groupe de veille sur les menaces de Google. « Ce groupe mène des attaques graves contre nos infrastructures critiques, et j'espère que nous ne manquons pas l'occasion de contrer la menace la plus imminente. »

Bien qu'un certain nombre d'incidents n'aient pas été publiquement attribués, une vague d'attaques récentes contre des chaînes de supermarchés britanniques, des assureurs nord-américains et des compagnies aériennes internationales a été largement liée à Scattered Spider. En mai, la National Crime Agency (NCA) britannique a confirmé qu'elle étudiait Scattered Spider en lien avec les attaques contre des détaillants britanniques. Le FBI a également averti vendredi dans une alerte avoir observé « le groupe cybercriminel Scattered Spider étendre son ciblage au secteur aérien ». Cet avertissement intervient alors que les compagnies aériennes nord-américaines Westjet et Hawaii Airlines ont déclaré avoir été victimes de piratages informatiques. Mercredi, la compagnie aérienne australienne Qantas a également annoncé avoir été victime d'une cyberattaque, bien qu'il n'ait pas été immédiatement précisé si cette attaque faisait partie de la campagne du groupe.

« Elles ont ralenti, puis se sont dissipées pendant un certain temps en 2024 », explique Adam Meyers, vice-président senior des opérations de contre-attaque chez CrowdStrike, une entreprise de sécurité. « Elles ont ensuite fait un retour en force ces derniers mois, touchant d'abord le commerce de détail, puis les compagnies d'assurance et, plus récemment, les compagnies aériennes. »

Scattered Spider est apparu comme un groupe très médiatisé fin 2023, ses membres passant des attaques par échange de cartes SIM aux attaques par rançongiciels dévastatrices contre Caesar's Entertainment et MGM Resorts . La récupération de ces dernières a coûté environ 100 millions de dollars à MGM. Les chercheurs soulignent que le collectif est motivé par des raisons financières et est composé principalement d'adolescents et de jeunes hommes anglophones, souvent basés aux États-Unis ou au Royaume-Uni. Les pirates informatiques de Scattered Spider sont considérés comme une émanation de Com , un réseau amorphe regroupant potentiellement des milliers de trolls et de criminels, dont beaucoup se livrent au harcèlement, à l'extorsion et à l'exploitation d'enfants.

Les membres de Scattered Spider se regroupent de plus en plus autour d'une tactique d' ingénierie sociale ciblée pour s'infiltrer dans les réseaux d'entreprise. Les attaquants peuvent se faire passer pour un employé dont l'accès à la messagerie professionnelle est bloqué et contacter le service d'assistance informatique de l'entreprise pour y accéder, avant de réinitialiser les identifiants d'authentification multifacteur . Les chercheurs indiquent que le groupe a également utilisé une tactique consistant à créer des sites web d'hameçonnage convaincants, dont les URL incluent souvent le nom de l'organisation ciblée, ainsi que des termes tels que « okta », « vpn » ou « helpdesk ». Une fois à l'intérieur des réseaux, les pirates déploient divers types de rançongiciels ou volent des données utilisées pour extorquer des fonds aux entreprises.

Selon Meyers, Crowdstrike estime que Scattered Spider est composé d'environ quatre membres principaux, qui ciblent les victimes potentielles et exploitent les ressources de l'écosystème Com au besoin. La structure et la taille exactes de Scattered Spider restent floues, mais les chercheurs s'accordent à dire que le groupe s'appuie sur un ensemble de services tiers pour mener ses attaques.

« La dissuasion est extrêmement difficile, car nous luttons contre un marché où de nombreux acteurs sont remplaçables », explique Hultquist de Google. « Par exemple, Scattered Spider a collaboré avec plusieurs services de rançongiciels ; si l'un d'eux tombe en panne, il y a toujours quelqu'un pour le remplacer. »

Aiden Sinnott, chercheur senior en menaces au sein de l'unité Contre-menaces de l'entreprise de cybersécurité Sophos, explique que Scattered Spider et The Com, plus largement, sont connectés par le biais de relations et de communautés sur des serveurs Discord ou des groupes Telegram. « C'est un groupe en pleine évolution où de nouveaux acteurs de la menace plus jeunes arrivent », explique Sinnott. « On observe cette progression naturelle à mesure qu'ils apprennent à se connaître mutuellement, et ils sont également très attachés au partage de leurs victoires. »

Certains membres de Scattered Spider ciblent des entreprises de renom, tandis que d'autres sont impliqués dans des activités moins médiatisées. « Certains groupes, ou individus, se concentrent principalement sur le piratage de comptes Coinbase et le vol de cryptomonnaies, entre autres », explique Sinnott. « Ils ne ciblent donc même pas ces grandes entreprises. »

Comme le dit Hultquist, « l’activité est extrêmement résiliente, car au lieu de lutter contre un seul acteur, nous luttons en réalité contre un marché. »