Le département américain de la Justice a inculpé cinq suspects soupçonnés de faire partie du gang de cybercriminalité Scattered Spider à motivation financière de complot en vue de commettre une fraude électronique.
Entre septembre 2021 et avril 2023, ils ont pu voler des millions de portefeuilles de crypto-monnaie en utilisant les informations d’identification des victimes volées lors d’attaques de phishing par SMS ciblant des dizaines de cibles, y compris des particuliers et des entreprises.
Scattered Spider est spécialisé dans les attaques d’ingénierie sociale, se faisant passer pour des techniciens du service d’assistance et utilisant des attaques de phishing/hameçonnage par sms pour voler les informations d’identification des employés des entreprises ciblées. Lors d’une attaque contre une société de produits et de logiciels de divertissement interactifs, les auteurs de la menace ont envoyé des messages de phishing avertissant les employés que leur VPN était désactivé et qu’ils devaient visiter un site pour le réactiver.
« AVERTISSEMENT!! Votre VPN [Entreprise Victime 1] est en cours de désactivation, pour garder votre VPN actif, veuillez vous rendre sur [Entreprise victime 1]-vpn.net, » le message de phishing a dit. D’autres campagnes de phishing prétendaient être des notifications de changement de mot de passe, invitant les destinataires à cliquer sur un lien s’ils ne modifiaient pas leur mot de passe.
Selon des documents judiciaires, ils ont également utilisé des informations d’identification volées à des employés d’entreprises piratées pour exfiltrer des données confidentielles, y compris des bases de données, « des produits de travail confidentiels, de la propriété intellectuelle et des informations d’identification personnelle » de leurs systèmes.
Ces informations ont ensuite été utilisées pour détourner les comptes de messagerie de leurs victimes dans des attaques d’échange de cartes SIM qui leur ont permis de prendre le contrôle de leurs numéros de téléphone et de leurs portefeuilles de devises virtuelles pour transférer des millions vers des portefeuilles sous leur contrôle.
Ces cinq suspects font maintenant face à des accusations de fraude électronique, de complot de fraude électronique et de vol d’identité aggravé:
- Ahmed Hossam Eldin Elbadawy, 23 ans, alias « annonce », de la station universitaire, Texas;
- Noah Michael Urban, 20 ans, alias « Sosa » et « Elijah », de Palm Coast, Floride;
- Evans Onyeka Oseibo, 20 ans, de Dallas, Texas;
- Joel Martin Evans, 25 ans, alias « joeleoli », de Jacksonville, Caroline du Nord;
- Tyler Robert Buchanan, 22 ans, du Royaume-Uni.
« Nous alléguons que ce groupe de cybercriminels a perpétré un stratagème sophistiqué pour voler la propriété intellectuelle et des informations exclusives valant des dizaines de millions de dollars et voler des informations personnelles appartenant à des centaines de milliers de personnes », a déclaré mercredi le procureur américain Martin Estrada dans un communiqué de presse.
S’il est reconnu coupable, chaque accusé encourt jusqu’à 20 ans de prison pour complot en vue de commettre une fraude électronique, cinq ans pour l’accusation de complot et une peine consécutive obligatoire de deux ans pour vol d’identité aggravé. Buchanan risque également jusqu’à 20 ans pour l’accusation de fraude électronique.
Qu’est-ce qu’une araignée dispersée?
Les fournisseurs et organisations de sécurité suivent également scattered Spider comme 0ktapus, Scatter Swine,Octo Tempest, Starfraud, UNC3944 et la Balance confuse.
Cependant, même si la plupart le considèrent comme un groupe cohérent, Scattered Spider est un groupe d’acteurs de la menace anglophones, dont certains n’ont que 16 ans, avec des compétences variées. Ils orchestrent divers types d’attaques et communiquent en utilisant les mêmes canaux Telegram, serveurs Discord et forums de pirates.
Certains membres dispersés de Spider feraient également partie de la « Comm », un autre collectif de piratage lié aux cyberattaques et aux incidents violents. Cette structure organisationnelle fluide rend difficile pour les forces de l’ordre de surveiller leurs activités et d’attribuer des attaques spécifiques à un gang de cybercriminalité ou à un acteur de menace particulier.
Dans un avis de 2023, le FBI a déclaré qu’il était connu pour utiliser diverses tactiques pour violer les réseaux d’entreprise, notamment l’ingénierie sociale, le phishing, le bombardement d’authentification multifacteur (MFA) (fatigue ciblée de la MFA) et l’échange de cartes SIM.
Depuis le début de 2023, Scattered Spider s’est également associé à plusieurs gangs de ransomwares russes, notamment BlackCat/AlphV, Qilin et RansomHub.
En juillet, la police britannique a également arrêté un suspect de 17 ans, qui serait un membre du collectif de piratage Scattered Spider impliqué dans l’attaque de ransomware MGM Resorts en 2023. D’autres attaques très médiatisées liées à ce gang de cybercriminalité incluent celles sur Caesars, DoorDash, MailChimp, Twilio, Riot Games et Reddit.