Le Federal Bureau of Investigation et la Cybersecurity and Infrastructure Security Agency ont publié un avis concernant l’acteur de menace évasive identifié sous le nom de Scattered Spider, un collectif de hackers peu soudé qui collabore désormais avec l’opération de ransomware russe ALPHV/BlackCat.
Scattered Spider, également connu sous les noms de 0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest et Muddled Libra, est adepte de l’ingénierie sociale et s’appuie sur le phishing, les bombardements d’authentification multifacteur (MFA) (fatigue MFA ciblée) et l’échange de carte SIM vers obtenir un premier accès au réseau dans les grandes organisations.
Le groupe comprend de jeunes membres anglophones (âgés d’à peine 16 ans) dotés de compétences diverses qui fréquentent les mêmes forums de hackers et chaînes Telegram.
Certains membres feraient également partie du « Comm », une communauté peu soudée impliquée dans des actes de violence et des cyberincidents qui a récemment retenu l’attention des médias.
Contrairement à la croyance générale selon laquelle il s’agit d’un gang cohésif, il s’agit d’un réseau d’individus, avec différents acteurs menaçants participant à chaque attaque. Cette structure fluide rend difficile leur suivi.
Cependant, selon les journalistes de Reuters, le FBI connaît l’identité d’au moins 12 membres du groupe mais aucun n’a encore été inculpé ou arrêté.
Arrière-plan
Les attaques Scattered Spider ont été documentées depuis l’été dernier, lorsque des chercheurs de la société de cybersécurité Group-IB ont publié un rapport sur une série d’attaques visant à voler les identifiants d’identité Okta et les codes 2FA, qui avaient débuté en mars de la même année.
En décembre 2022, CrowdStrike a présenté l’acteur menaçant comme un groupe motivé par des raisons financières ciblant les entreprises de télécommunications, employant des tactiques d’ingénierie sociale de haut niveau, un renversement de la défense et un riche ensemble d’outils logiciels.
En janvier 2023, Crowdstrike a découvert que Scattered Spider utilisait des méthodes BYOVD (Bring Your Own Vulnerable Driver) pour échapper à la détection des produits de sécurité EDR (endpoint Detection and Response).
Plus récemment, en septembre de cette année, deux attaques très médiatisées contre MGM Casino et Caesars Entertainment ont été attribuées à Scattered Spider, où les acteurs malveillants ont utilisé le casier BlackCat/ALPHV pour chiffrer les systèmes.
Les activités passées de l’acteur malveillant incluent des attaques contre MailChimp, Twilio, DoorDash et Riot Games.
Un rapport d’octobre de Microsoft, qui les appelle Octo Tempest, indique qu’ils constituent l’un des groupes criminels financiers les plus dangereux et qu’ils sont connus pour recourir à des menaces violentes pour atteindre leurs objectifs.
Les conclusions des chercheurs sur la variété des méthodes d’attaque du groupe indiquent que ses membres possèdent des connaissances qui s’étendent à différents domaines de la cybercriminalité, de l’ingénierie sociale et du piratage informatique à l’échange de cartes SIM, au phishing et au contournement des protections de connexion.
Tactiques d’araignée dispersée
L’alerte du FBI et de la CISA met en évidence les puissantes tactiques d’accès initial de Scattered Spider, qui consistent à cibler les employés d’une entreprise en se faisant passer pour du personnel informatique ou d’assistance et à les inciter à fournir des informations d’identification ou même un accès direct au réseau.
Les tactiques individuelles incluent les appels téléphoniques, le phishing par SMS, le phishing par courrier électronique, les attaques de fatigue MFA et l’échange de carte SIM. Les domaines utilisés pour le phishing par e-mail et SMS abusent des marques Okta et Zoho ServiceDesk combinées au nom de la cible pour les faire paraître légitimes.
Après avoir pris pied sur le réseau, Scattered Spider utilise une gamme d’outils logiciels accessibles au public pour la reconnaissance et le mouvement latéral, notamment :
- Fleetdeck.io : Surveillance et gestion du système à distance
- Level.io : surveillance et gestion du système à distance
- Mimikatz : extraction d’identifiants
- Ngrok : accès au serveur Web à distance via le tunneling Internet
- Pulseway : Surveillance et gestion du système à distance
- Screenconnect : gestion des connexions à distance des appareils réseau
- Splashtop : Gestion des connexions à distance des appareils réseau
- Tactical.RMM : surveillance et gestion du système à distance
- Tailscale : VPN pour des communications réseau sécurisées
- Teamviewer : Gestion des connexions à distance des appareils réseau
Outre les outils légitimes ci-dessus utilisés à des fins malveillantes, Scattered Spider mène également des attaques de phishing pour installer des logiciels malveillants tels que WarZone RAT, Raccoon Stealer et Vidar Stealer, afin de voler les informations de connexion, les cookies et d’autres données utiles dans l’attaque sur les systèmes compromis.
Une nouvelle tactique observée dans les récentes attaques du groupe malveillant est l’exfiltration de données et le cryptage de fichiers à l’aide du ransomware ALPHV/BlackCat, suivis d’une communication avec les victimes via une application de messagerie, un courrier électronique ou d’autres outils sécurisés pour négocier le paiement d’une rançon.
Les acteurs de Scattered Spider affiliés à BlackCat sont également connus pour utiliser le site de fuite de données du gang de ransomwares dans le cadre de leurs tentatives d’extorsion, où ils divulguent des données ou publient des déclarations, comme cela s’est produit avec leur attaque sur Reddit.
Scattered Spider montre un intérêt particulier pour les actifs précieux tels que les référentiels de code source, les certificats de signature de code et le stockage des informations d’identification.
En outre, les attaquants surveillent de près les canaux Slack de la victime, les e-mails Microsoft Teams et Microsoft Exchange à la recherche de messages contenant des indications indiquant que leurs activités ont été découvertes.
« Les acteurs de la menace participent fréquemment à des appels et à des téléconférences de résolution et de réponse aux incidents, susceptibles d’identifier la manière dont les équipes de sécurité les traquent et de développer de manière proactive de nouvelles voies d’intrusion en réponse aux défenses des victimes » – Federal Bureau of Investigation
L’agence ajoute que les cybercriminels y parviennent « en créant de nouvelles identités dans l’environnement » qui ont souvent de faux profils sur les réseaux sociaux pour un faux sentiment de légitimité.
Atténuations proposées
Le FBI et la CISA recommandent de mettre en œuvre des mesures d’atténuation spécifiques pour se protéger contre les menaces imposées par Scattered Spider.
Les principales recommandations de l’avis proposent de :
- Utilisez les contrôles d’application avec « liste autorisée » pour gérer l’exécution des logiciels.
- Surveillez les outils d’accès à distance et mettez en œuvre une authentification multifacteur (MFA) résistante au phishing.
- Sécurisez et limitez l’utilisation du protocole RDP (Remote Desktop Protocol) grâce aux meilleures pratiques et au MFA.
- Maintenez des sauvegardes hors ligne et adhérez à un plan de récupération de données robuste.
- Suivez les normes NIST pour les mots de passe forts et modifiés moins fréquemment.
- Gardez les systèmes et les logiciels régulièrement mis à jour, en vous concentrant sur la correction des vulnérabilités.
- Mettez en œuvre une segmentation du réseau pour contrôler le trafic et empêcher la propagation des ransomwares.
- Utilisez les outils de surveillance du réseau et de détection et réponse des points finaux (EDR) pour détecter les activités anormales.
- Améliorez la sécurité de la messagerie en désactivant les liens à risque et en chiffrant les données de sauvegarde.
Enfin, il est conseillé aux organisations de tester et de valider leurs contrôles de sécurité par rapport aux techniques MITRE ATT&CK décrites dans l’avis.