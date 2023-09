Il y a environ un an, la société de sécurité américaine Palo Alto Networks a commencé à entendre parler d'une multitude d'entreprises qui avaient été piratées d'une manière inhabituelle pour les cybercriminels.

Des pirates de langue maternelle anglaise appelaient le service d'assistance informatique d'une entreprise cible en se faisant passer pour un employé et cherchaient à obtenir des informations de connexion en prétendant avoir perdu les leurs. Ils disposaient de toutes les informations nécessaires sur les employés pour paraître convaincants. Une fois l'accès obtenu, ils se frayaient rapidement un chemin dans les répertoires les plus sensibles de l'entreprise pour voler ces données à des fins d'extorsion.

Les attaques par ransomware ne sont pas nouvelles, mais ce groupe était extraordinairement doué pour l'ingénierie sociale et le contournement de l'authentification multifactorielle, a déclaré Wendi Whitmore, vice-présidente principale de l'équipe de renseignement sur les menaces de l'unité 42 de l'entreprise de sécurité Palo Alto Networks, qui a réagi à plusieurs intrusions liées à ce groupe.

"Ils sont beaucoup plus sophistiqués que de nombreux acteurs de la cybercriminalité. Ils semblent disciplinés et organisés dans leurs attaques", a-t-elle déclaré. "Et c'est quelque chose que nous observons plus fréquemment chez les acteurs étatiques que chez les cybercriminels".

Connus dans le secteur de la sécurité sous les noms de Scattered Spider, Muddled Libra et UNC3944, ces pirates ont été propulsés sous les feux de la rampe au début du mois pour avoir pénétré dans les systèmes de deux des plus grandes sociétés de jeux d'argent au monde, MGM Resorts et Caesars Entertainment Ltd.

Selon les analystes qui suivent les intrusions, les pirates ont touché en coulisses de nombreuses autres entreprises, et les spécialistes de la cybersécurité s'attendent à ce que les attaques se poursuivent.

Le FBI enquête sur les intrusions de MGM et de Caesars, et les entreprises n'ont pas fait de commentaires sur les auteurs possibles de ces intrusions.

Du Canada au Japon, la société de sécurité CrowdStrike a recensé 52 attaques menées par le groupe depuis mars 2022, la plupart aux États-Unis, a déclaré Adam Meyers, premier vice-président chargé du renseignement sur les menaces au sein de la société. Mandiant, une société de renseignement appartenant à Google, a enregistré plus de 100 intrusions de la part de ce groupe au cours des deux dernières années.

Presque tous les secteurs, des télécommunications à la finance, en passant par l'hôtellerie et les médias, ont été touchés. Reuters n'a pas été en mesure de déterminer le montant des sommes extorquées par les pirates.

Mais ce n'est pas seulement l'ampleur ou l'étendue des attaques qui distinguent ce groupe. Ils sont extrêmement bons dans ce qu'ils font et "impitoyables" dans leurs interactions avec les victimes, a déclaré Kevin Mandia, fondateur de Mandiant.

La vitesse à laquelle ils pénètrent dans les systèmes des entreprises et en exfiltrent les données peut submerger les équipes d'intervention en matière de sécurité, et ils ont laissé des notes menaçantes à l'intention du personnel des organisations victimes sur leurs systèmes, et les ont contactées par texto et par courrier électronique dans le passé, a constaté Mandiant.

Dans certains cas - Mandiant n'a pas précisé lesquels - les pirates liés à Scattered Spider ont passé de faux appels d'urgence pour convoquer des unités de police lourdement armées au domicile des dirigeants des entreprises ciblées.

Cette technique, appelée SWATing, "est tout à fait épouvantable à vivre en tant que victime", a-t-il déclaré. "Je ne pense même pas que ces intrusions soient liées à l'argent. Je pense qu'il s'agit de pouvoir, d'influence et de notoriété. Il est donc plus difficile d'y répondre.

Reuters n'a pas pu joindre immédiatement le groupe de pirates informatiques pour un commentaire.

17-22 ANS

Il y a peu de détails sur la localisation ou l'identité de Scattered Spider. D'après les discussions des criminels avec les victimes et les indices glanés lors des enquêtes sur les violations, M. Meyers, de CrowdStrike, a déclaré qu'il s'agissait principalement de jeunes de 17 à 22 ans. Mandiant estime qu'ils sont principalement originaires de pays occidentaux, mais le nombre de personnes impliquées n'est pas clair.

Avant d'appeler les services d'assistance, les pirates acquièrent des informations sur les employés, notamment des mots de passe, par ingénierie sociale, en particulier par "échange de cartes SIM", une technique qui consiste à tromper le représentant du service clientèle d'une société de télécommunications pour qu'il réaffecte un numéro de téléphone spécifique d'un appareil à un autre, selon les analystes.

Ils semblent également faire l'effort d'étudier le fonctionnement des grandes organisations, y compris leurs fournisseurs et leurs sous-traitants, afin de trouver des personnes disposant d'un accès privilégié qu'ils peuvent cibler, selon les analystes.

David Bradbury, responsable de la sécurité de la société de gestion des identités Okta, a pu le constater le mois dernier, lorsqu'il a découvert que plusieurs clients d'Okta, dont MGM, avaient été victimes d'une intrusion de Scattered Spider. Okta fournit des services d'identité tels que l'authentification multifactorielle utilisée pour aider les utilisateurs à accéder en toute sécurité aux applications en ligne et aux sites web.

"Les acteurs de la menace ont clairement suivi les cours que nous proposons en ligne, ils ont clairement étudié notre produit et son fonctionnement", a déclaré M. Bradbury. "Ce sont des choses que nous n'avons jamais vues auparavant.

Un groupe plus important, nommé ALPHV, a déclaré la semaine dernière être à l'origine du piratage de la MGM, et les analystes pensent qu'il a fourni le logiciel et les outils d'attaque pour l'opération menée par Scattered Spider.

De telles collaborations sont typiques des cybercriminels, a déclaré M. Bradbury d'Okta. ALPHV, qui, selon Mandiant, est un "ransomware-as-a-service", fournirait des services tels qu'un service d'assistance, une page web et une image de marque, et recevrait en retour une part de ce que Scattered Spider gagnerait grâce au piratage.

Alors que de nombreuses attaques de ransomware ne sont pas médiatisées, le piratage de MGM est un exemple frappant de l'impact réel de ce type d'incidents. Il a provoqué le chaos à Las Vegas, les machines de jeu s'étant bloquées et les systèmes des hôtels ayant été perturbés.

Les gangs de rançongiciels fonctionnent souvent comme de grandes organisations et continuent à faire évoluer leurs méthodes pour s'adapter aux dernières mesures de sécurité utilisées par les organisations.

"D'une certaine manière, cela ressemble au jeu séculaire du chat et de la souris", a déclaré M. Whitmore, qui a comparé Scattered Spider à Lapsus$, un autre groupe à l'origine de piratages antérieurs d'Okta et du géant de la technologie Microsoft. L'année dernière, la police britannique a arrêté sept personnes âgées de 16 à 21 ans à la suite de ces piratages.