Scattered Spider tisse sa toile dans les failles humaines

Le 31 juin dernier, la compagnie aérienne Qantas révélait dans un communiqué de presse que l’un de ces centres d’appel avait été la cible d’une cyberattaque. Celle-ci aurait causé une fuite massive des données personnelles de ses clients, dont l’ampleur n’est toujours pas connue à ce jour. Le MOA (mode opératoire d’attaque) Scattered Spider, aussi connu sous les noms UNC3944, Storm-0875, LUCR-3, Oktapus et bien d’autres encore, est largement suspecté d’être à l’origine de cette attaque.

Par sa composition, son organisation et les techniques qu’il emploie, le groupe se démarque dans le paysage de cybermenaces actuelles. En effet, il serait composé d’adolescents et de jeunes adultes anglophones, principalement basés aux États-Unis et au Royaume-Uni, agissant sans structure hiérarchique apparente. Malgré l’arrestation de plusieurs de ses membres en 2024, Scattered Spider est aujourd’huiencore en activité.

Avec une montée en puissance rapide, un impact sur des entreprises majeures dans le monde entier et des techniques principalement basées sur le facteur humain, Scattered Spider incarne une nouvelle forme de menace : opportuniste, hautement adaptable et décentralisée.

Un groupe d’adolescents qui donne du fil à retordre au FBI

“Je ne sais si je pourrais répondre qu’il est possible de les démanteler”, avait affirmé Brett Leatherman, directeur adjoint de la division cyber du FBI, lors d’une interview accordée au média The Record au sujet de Scattered Spider en mai 2024. La formation du collectif remonterait au mois de mai 2022. Si à l’origine le groupe concentrait ses efforts sur des entreprises de télécommunications, les cibles se sont diversifiées au fil du temps pour atteindre un large éventail de secteurs (commerce de détail, entreprises liées aux jeux d’argent, aviation…) et de localisations (Etats-Unis, Canada, Royaume-Uni, Suisse, et maintenant plus largement l’Asie du Sud-Est ou encore le Brésil) qui évoluent constamment.

Scattered Spider s’est fait connaître du grand public à la suite de deux cyberattaques ayant eu un immense retentissement dans les médias outre-atlantique en 2023 : celle de Caesars Entertainment et MGM Resorts International, deux entreprises majeures du secteur des jeux d’argent aux États-Unis. Lors de ces deux attaques, des données personnelles de clients ont été extorquées par les hackers.Dans le cas de Caesars Entertainment, l’entreprise a dû s’acquitter d’une rançon de 15 millions de dollars (contre les 30 millions initialement demandés). Scattered Spider ne s’est pas arrêté là et a ciblé de nombreuses grandes entreprises telles que Marks & Spencer, Harrod’s, Co-op Group, New York Life Insurance Co., Visa, Financial Services Group Inc. ou encore Twilio.

Une organisation atypique aux contours flous

L’organisation de Scattered Spider se distingue nettement des modèles classiques de cybercriminalité, notamment parce qu’il n’y a pas de structure hiérarchique claire. Des individus ou des petits sous-groupes collaborent ponctuellement, de manière opportuniste. Cette structure atypique leur confère une grande agilité, qui complique leur attribution précise. Les membres sont majoritairement jeunes et natifs anglophones, avec une bonne maîtrise des codes sociaux et des outils des entreprises ciblés.Cela rend l’emploi du social engineering et l’exploitation des systèmes d’information compromis extrêmement redoutables.

La motivation de Scattered Spider est principalement lucrative. La plupart des cyberattaques menées par le groupe emploient des rançongiciels et reposent sur l’extorsion de données personnelles/objectif est qu’elles soient revendus directement sur le DarkNet ou d’extorquer les victimes via le chantage à la publication. Pour maximiser le profit, les hackers ciblent principalement des grandes entreprises. Leur profil psychologique et leur jeune âge font du goût du challenge et de la recherche de reconnaissance via la réussite à compromettre une cible donnée des motivations secondaires pour les membres de Scattered Spider.

Ils agissent parfois seuls, parfois comme sous-traitants ou partenaires d’autres groupes cybercriminels. Par exemple, dans le cadre d’attaques impliquant le chiffrement de données, Scattered Spider n’a pas hésité à s’associer à ALPHV/BlackCat. Le groupe ferait d’ailleurs partie d’une nébuleuse de l’écosystème cybercriminel plus vaste, connue sous le nom de “The Community” ou “The Comm”, une communauté présente sur Discord et Telegram dans laquelle les hackers de différents niveaux échangeraient leurs bonnes pratiques sur fond de racisme et de misogynie et qui serait à l’origine de l’éclosion de d’autres groupes malveillants.

Par ailleurs, Scattered Spider s’organiserait autour de deux profils complémentaires : d’un côté, des membres chargés de tâches opérationnelles simples comme le phishing ou l’envoi de SMS ; de l’autre, des individus dotés de compétences techniques avancées, capables de manipuler ou compromettre des systèmes d’information.

Des attaques reposant principalement sur des techniques de social engineering

Les cyberattaques menées par Scattered Spider reposent moins sur la sophistication que sur l’exploitation du facteur humain. Le groupe se démarque dans le paysage de menaces cyber par l’emploi avec succès de techniques de social engineering, ce qui leur permet d’accéder au système d’information sans avoir recours à des compétences informatiques extrêmement pointues. Les hackers comprennent les processus internes des entreprises qu’ils ciblent et sont donc capables de les imiter, ce qui constitue leur principale force pour piéger les organisations. Pour obtenir l’accès au système d’information, ils font appel à des techniques telles que le Vishing (l’emploi d’appels téléphoniques imitant le support IT des entreprises pour soutirer les informations), le MFA fatigue (l’envoi massif de demandes d’authentification jusqu’à ce que la victime clique par fatigue ou par automatisme) ou du phishing très personnalisé grâce à des informations trouvées sur les réseaux sociaux.

Une fois introduits dans les systèmes d’informations, les membres de Scattered Spiders agissent en toute discrétion pour voler les données qu’ils trouvent, grâce à l’utilisation d’outils d’administration à distance déjà présents sur les postes de travail et à la création de comptes administrateurs persistants.

Dès lors, deux cas de figures ont été observés dans leur façon d’opérer. Avec l’aide d’autres groupes cybercriminels spécialisés dans le Ransomware-as-a-Service, ils pratiquent la double-extorsion en chiffrant les données, mais ce n’est pas systématique. La plupart du temps, ils se contentent simplement de pratiquer le chantage à la publication.

Scattered Spider se distingue donc des groupes cybercriminels traditionnels, que ce soit par le profil des hackers qui le composent ou par son organisation sans structure hiérarchique. Dans le paysage actuel de la cybercriminalité, il a réussi à se faire une place par la réussite de cyberattaques au retentissement médiatique important en Occident et à des techniques de social engineering. Cela rappelle la nécessité pour les organisations de former les collaborateurs aux pratiques de cyberhygiène afin de garantir la cybersécurité de l’entreprise. Le cas Scattered Spider le prouve : ce ne sont pas toujours les failles techniques qui ouvrent les portes, mais celles de nos propres processus humains.