Google a averti aujourd’hui que des pirates informatiques utilisant des tactiques d’araignées dispersées contre des chaînes de magasins au Royaume-Uni avaient également commencé à cibler des détaillants aux États-Unis.
« Le secteur de la vente au détail aux États-Unis est actuellement la cible d’opérations de ransomware et d’extorsion que nous soupçonnons d’être liées à UNC3944, également connu sous le nom de Scattered Spider », a déclaré John Hultquist, analyste en chef chez Google Threat Intelligence Group, à Breachtrace .
« L’acteur, qui aurait ciblé le commerce de détail au Royaume-Uni après une longue interruption, a l’habitude de concentrer ses efforts sur un seul secteur à la fois, et nous prévoyons qu’il continuera à cibler le secteur à court terme. Les détaillants américains devraient en prendre note. »
Comme l’a signalé pour la première fois Breachtrace , le géant britannique de la vente au détail Marks & Spencer (M&S) a été piraté pour la première fois lors d’une attaque de ransomware dans laquelle des acteurs malveillants ont crypté des machines virtuelles sur des hôtes VMware ESXi avec un crypteur DragonForce. Cette attaque a été attribuée à Octo Tempest, le nom de Microsoft pour Scattered Spider.
Co-op a également connu un autre cyberincident, confirmant que des attaquants avaient volé des données à de nombreux membres actuels et anciens. Harrods a également révélé le 1er mai qu’il avait été contraint de restreindre l’accès Internet aux sites après que des attaquants aient tenté d’infiltrer son réseau, suggérant une réponse active à une cyberattaque même si une violation n’a pas encore été confirmée.
L’opération de ransomware DragonForce a revendiqué les trois attaques, et Breachtrace a appris que les attaquants qui les ont orchestrées ont utilisé les mêmes tactiques d’ingénierie sociale liées à des acteurs de la menace Araignée dispersés. DragonForce a fait surface en décembre 2023 et a récemment commencé à annoncer un nouveau service conçu pour permettre à d’autres groupes de cybercriminalité de mettre leurs services en marque blanche.
Depuis que Scattered Spider a commencé à cibler les détaillants britanniques en avril, le Centre national de cybersécurité du Royaume-Uni (NCSC) a publié des directives pour aider les organisations britanniques à renforcer leurs défenses en matière de cybersécurité et a également averti que ces cyberattaques devraient être considérées comme un « signal d’alarme », car l’un d’eux pourrait devenir la prochaine cible.
Le NCSC britannique n’a pas encore attribué ces incidents à un groupe de piratage ou à un acteur menaçant spécifique et a déclaré qu’il travaillait toujours avec les victimes pour le déterminer.
« Bien que nous ayons des informations, nous ne sommes pas encore en mesure de dire si ces attaques sont liées, s’il s’agit d’une campagne concertée menée par un seul acteur, ou s’il n’y a aucun lien entre elles », a déclaré le NCSC. « Nous travaillons avec les victimes et les collègues des forces de l’ordre pour nous en assurer. »
Les acteurs de la menace des araignées dispersées
Scattered Spider (également connu sous les noms de 0ktapus, UNC3944, Scatter Swine, Starfraud et Muddled Libra) est un terme utilisé pour décrire un collectif fluide d’acteurs de la menace connus pour avoir violé de nombreuses organisations de premier plan dans le monde entier lors d’attaques sophistiquées d’ingénierie sociale impliquant également le phishing, l’échange de cartes SIM, le bombardement d’authentification multifacteur (également connu sous le nom de fatigue ciblée de l’authentification multifacteur).
Leurs attaques se sont intensifiées en septembre 2023 lorsqu’ils ont violé MGM Resorts, utilisant le ransomware BlackCat pour crypter plus de 100 hyperviseurs VMware ESXi après avoir violé le réseau en se faisant passer pour un employé lors de l’appel du service d’assistance informatique.
Depuis lors, ils ont également agi en tant qu’affiliés pour diverses autres opérations de ransomware, notamment RansomHub, Qilin et, maintenant, DragonForce. D’autres attaques liées à Scattered Spider incluent celles sur Twilio, Coinbase, DoorDash, Caesars, MailChimp, Riot Games et Reddit.
Certains acteurs dispersés de la menace Araignée feraient également partie de la « Com », une communauté vaguement connectée impliquée dans des cyberattaques et des actes violents qui ont souvent attiré l’attention des médias.
Ces cybercriminels n’ont que 16 ans et la plupart sont des anglophones qui fréquentent les mêmes canaux Telegram, serveurs Discord et forums de pirates informatiques où ils planifient et mènent leurs attaques en temps réel.
Bien que les organes de presse et les chercheurs en sécurité utilisent fréquemment « Araignée dispersée » pour décrire ce collectif comme un gang cohésif, il fait référence à un groupe peu soudé d’acteurs de la menace qui utilisent des tactiques spécifiques lors de leurs attaques, ce qui rend difficile le suivi de leurs activités.
« Ces acteurs sont agressifs, créatifs et particulièrement efficaces pour contourner les programmes de sécurité matures. Ils ont eu beaucoup de succès avec l’ingénierie sociale et l’utilisation de tiers pour accéder à leurs cibles », a déclaré Hultquist à Breachtrace aujourd’hui.