Les autorités américaines ont arrêté un adolescent de 19 ans lié au célèbre gang de cybercriminalité Scattered Spider qui est maintenant accusé d’avoir violé une institution financière américaine et deux entreprises de télécommunications anonymes.
Remington Goy Ogletree (également connu en ligne sous le nom de « remi ») a violé les réseaux des trois entreprises en utilisant des informations d’identification volées dans des messages de phishing textuels et vocaux ciblant leurs employés.
Il s’est également fait passer pour les services de support informatique des victimes lors d’appels destinés à faire pression sur les employés pour qu’ils accèdent à des sites d’hameçonnage où ils étaient invités à saisir leurs noms d’utilisateur et mots de passe.
L’institution financière américaine prétendument piratée par Ogletree a déclaré au FBI qu’environ 149 de ses employés avaient été ciblés dans une campagne de phishing (entre fin octobre 2023 et mi-novembre 2023) qui les redirigeait vers des pages de destination de phishing usurpant l’identité de l’entreprise.
Ces sites Web d’hameçonnage ont été conçus pour demander aux employés ciblés d’entrer les informations d’identification qu’ils ont utilisées pour accéder aux systèmes de l’institution financière.
« Un examen des captures d’écran des messages de phishing a révélé des déclarations destinées à induire les employés en erreur en leur demandant de fournir leurs informations d’identification, y compris des messages frauduleux affirmant que leur » programme d’avantages sociaux des employés [a été] mis à jour » et « votre emploi du temps des employés a été modifié », lit-on dans la plainte.
« Certains des messages de phishing indiquaient aux employés qu’ils avaient » une demande des ressources humaines « ou que leur » profil VPN avait été mis à jour ». »
De plus, entre octobre 2023 et mai 2024, Ogletree a utilisé son accès aux systèmes des télécommunications pour envoyer plus de 8,6 millions de SMS de phishing à des numéros de téléphone à travers les États-Unis conçus pour aider à voler la crypto-monnaie des destinataires.
Comme Trend Micro l’a signalé en octobre 2023, certaines de ces attaques ont ciblé les clients des plateformes cryptographiques légitimes Gemini et KuCoin en utilisant les yourgeminiclaims[.] net et kucoinclaims[.] domaines com.
En février, alors qu’il fouillait sa résidence à Forth Worth, au Texas, le FBI a trouvé de nombreuses preuves de l’activité criminelle d’Ogletree sur son iPhone saisi, y compris des captures d’écran de textes de phishing usurpant l’identité d’une entreprise technologique, des captures d’écran de pages de phishing de récolte d’informations d’identification et des captures d’écran de portefeuilles cryptographiques avec des dizaines de milliers de dollars en crypto-monnaie.
Lors de son entretien ultérieur avec le FBI, Ogletree a déclaré qu’il connaissait « des gens qui commettent toutes sortes de crimes » et « des membres clés dispersés de Spider », ajoutant que le groupe de piratage cible les entreprises d’externalisation des processus métier (BPO) parce qu ‘ « elles ont moins de sécurité » que les entreprises pour lesquelles ils travaillent.
Arrestations précédentes d’araignées dispersées
Le mois dernier, le département américain de la Justice a arrêté et inculpé cinq autres suspects liés au gang de la cybercriminalité qui auraient volé des millions de crypto-monnaie à l’aide d’attaques de phishing par SMS ciblant des dizaines de cibles.
Ces cinq suspects font face à des accusations de fraude électronique, de complot de fraude électronique et de vol d’identité aggravé, chacun encourant au moins 20 ans de prison:
- Ahmed Hossam Eldin Elbadawy, 23 ans, alias « annonce », de la station universitaire, Texas;
- Noah Michael Urban, 20 ans, alias « Sosa » et « Elijah », de Palm Coast, Floride;
- Evans Onyeka Oseibo, 20 ans, de Dallas, Texas;
- Joel Martin Evans, 25 ans, alias « joeleoli », de Jacksonville, Caroline du Nord;
- Tyler Robert Buchanan, 22 ans, du Royaume-Uni.
La police britannique a également arrêté un suspect de 17 ans en juillet, qui ferait partie du collectif de piratage Scattered Spider qui était impliqué dans l’attaque de ransomware MGM Resorts en 2023.
D’autres attaques très médiatisées liées à ce groupe de piratage incluent celles sur Caesars, MailChimp, Twilio, DoorDash, Riot Games et Reddit.
Depuis le début de 2023, Scattered Spider s’est également associé à plusieurs gangs de ransomwares russes, notamment Qilin, BlackCat/AlphV et RansomHub.
Qu’est-ce qu’une araignée dispersée?
Les fournisseurs de sécurité suivent également le gang de cybercriminalité Scattered Spider motivé financièrement comme 0ktapus, UNC3944, Scatter Swine, Octo Tempest et Muddled Libra.
Ce groupe d’acteurs de la menace anglophones, dont certains n’ont que 16 ans, a une structure organisationnelle fluide et communique via les mêmes canaux Telegram, serveurs Discord et forums de pirates informatiques pour coordonner et orchestrer diverses attaques.
Certains de ses membres feraient également partie de « the Com », un autre collectif de piratage précédemment lié à des incidents violents et des cyberattaques.
L’organisation lâche des groupes rend plus difficile pour les forces de l’ordre de suivre leurs activités criminelles et d’attribuer des attaques spécifiques à un membre de gang spécifique.
Le FBI affirme qu’il utilise diverses tactiques pour violer les réseaux d’entreprise, notamment le phishing, l’ingénierie sociale, l’échange de cartes SIM et le bombardement d’authentification multifacteur (MFA) (fatigue ciblée de l’AMF).