Cinq hommes d’une vingtaine d’années ont été inculpés par les autorités américaines, mercredi 20 novembre. Ils sont soupçonnés d’appartenir à un sinistre groupe de hackers surnommé Scattered Spider par les spécialistes de la sécurité informatique, et dans un but néfaste. L’acte d’accusation publié par le ministère de la Justice les accuse principalement de fraude bancaire et d’usurpation d’identité.
Le nom Scattered Spider était notamment associé au piratage des casinos MGM Resorts aux États-Unis, qui a coûté près de 100 millions de dollars à l’entreprise. Le groupe ou certains de ses membres sont également soupçonnés d’avoir collaboré avec BlackCat, l’un des plus grands gangs de ransomwares de ces dernières années. Scattered Spider aurait ainsi joué le rôle d’affilié, nom donné aux complices chargés d’infiltrer le réseau d’une victime pour y déployer un logiciel malveillant qui paralyse les ordinateurs connectés.
Les cinq suspects désormais poursuivis par la justice américaine, Ahmed Elbadawy, Noah Urban, Evans Osiebo, Joel Evans et Tyler Buchanan, sont tous âgés de 20 à 25 ans. Au moins trois d’entre eux ont été arrêtés lors de plusieurs vagues d’arrestations. M. Buchanan, le seul ressortissant britannique figurant sur la liste des suspects (les quatre autres sont américains), a été arrêté en Espagne en juin, tandis que Noah Urban, connu sous le pseudonyme de « Sosa », a été arrêté en janvier. Un dernier suspect, Joel Evans, a été arrêté mardi 19 novembre par des enquêteurs fédéraux en Caroline du Nord. Il n’est toutefois pas clair si les cinq personnes inculpées représentent l’ensemble du groupe.
Phishing, « SIM swapping » et vols de fonds
Depuis 2022, les sociétés de sécurité informatique suivent de près les activités du groupe. Une analyse de la société CrowdStrike établissait à l’époque que les pirates ciblaient principalement les entreprises de télécommunications et les entreprises de sous-traitance. Ils se sont infiltrés en envoyant des messages de phishing (hameçonnage) ou en se faisant passer pour des salariés au téléphone, toujours dans le but d’obtenir des identifiants leur permettant de prendre un premier pied dans le réseau. Le groupe a ensuite solidifié son assise, en installant par exemple des logiciels d’accès à distance sur les ordinateurs de l’entreprise.
Selon l’acte d’accusation, Joel Evans, 25 ans, de Jacksonville et connu sous le pseudonyme de joeleoli, est accusé d’avoir conçu un outil pour automatiser le transfert de mots de passe volés par les campagnes de phishing du groupe. Les informations d’identification saisies par les victimes étaient ensuite envoyées à une chaîne Telegram gérée par Scattered Spider. En 2022, un rapport de la société Group IB estimait que près de 10 000 personnes auraient vu leurs identifiants volés par le groupe.
Une fois ces données récupérées, l’un des principaux objectifs de Scattered Spider est alors d’extraire des fonds, souvent en cryptomonnaie, de leurs victimes. Les enquêteurs estiment que les suspects ont réussi à voler au total plus de 11 millions de dollars à une trentaine de personnes identifiées. En 2021, les suspects auraient réussi à voler plus de six millions de dollars en cryptomonnaies à une seule victime. Pour ce faire, le groupe a utilisé la technique de échange de carte SIMqui consiste à transférer la ligne téléphonique d’une victime pour recevoir ses messages texte et ses appels, y compris les codes de vérification parfois envoyés pour réinitialiser un mot de passe. En 2022, des membres du groupe auraient réussi à s’introduire dans les infrastructures de Twilio, une société spécialisée dans l’envoi de SMS et d’appels téléphoniques.
Derrière ce vague groupe pourrait se cacher une communauté plus large. Les chercheurs soupçonnent ainsi Scattered Spider d’être une émanation de The Com, un vaste réseau de pirates anglophones dont le niveau d’organisation est inconnu et qui pourrait compter, selon de récentes déclarations du FBI, près d’un millier de membres.
Lire le décryptage | Article réservé à nos abonnés Les « Infostealers », cette petite cybercriminalité qui prospère à l’ombre des ransomwares
Lire plus tard