Enfin une bonne nouvelle concernant Scattered Spider, ce gang de cybercriminels actif depuis le printemps 2022 ? La presse espagnole vient d’annoncer l’arrestation d’un Anglais présenté comme l’un des dirigeants de ce groupe informel de hackers informatiques. Le jeune homme de 22 ans s’apprêtait à s’envoler pour l’Italie lorsqu’il a été arrêté à Palma de Majorque, dans l’archipel des Baléares.
Cette arrestation fait suite à une première arrestation en janvier 2024 en lien avec ce gang, selon le journaliste spécialisé Brian Krebs, celle d’un Américain de 19 ans en Floride. « Ces arrestations démontrent que des efforts sont déployés par le FBI » contre ce groupe « éblouissant qui a acquis un certain poids en très peu de temps »salue Nicolas Arpagian, vice-président de HeadMind Partners.
Il était temps, car Scattered Spider est devenu un véritable défi pour le Federal Bureau of Investigation américain, l’obligeant à innover dans ses méthodes. “Je ne sais pas si je pourrais répondre qu’il sera possible de les démanteler. un jour, l’un de ses dirigeants, Brett Leatherman, l’a même déclaré à The Record début mai. Cet aveu d’impuissance du FBI, critiqué pour son manque de résultats, est à relativiser avec les contours flous de cette organisation cybercriminelle.
Deux attaques retentissantes
Comparé à un gang de rue d’une grande ville, Scattered Spider rassemblerait en fait de jeunes cybercriminels venus des Etats-Unis et du Royaume-Uni. Appelés également UNC3944 par les experts en sécurité informatique, Oktapus, Octo Tempest, Scatter Swine ou encore Muddled Libra, ces hackers se sont illustrés dans des hacks à l’impact mondial, comme ceux qui ont touché les casinos du groupe MGM et Caesars Entertainment en septembre 2023.
Autant d’acronymes variés qui masquent une structure assez lâche, un classique de la cybercriminalité. La société de cybersécurité Sekoia, qui traque l’activité du gang à travers ses pages de phishing, distingue par exemple deux groupes d’acteurs chez Scattered Spider, ceux concentrés sur les tâches les plus simples, comme créer une page de phishing ou envoyer des SMS, « et des cybercriminels très compétents, qui savent très bien détourner les systèmes informatiques », note un analyste de l’entreprise. Comme le souligne Cloud Mandiant, filiale de Google, dans un récent rapport, le groupe cible les applications SaaS et les cloud vSphere et Azure en particulier.
Mais quel que soit leur nom, ces pirates trouvent leurs racines dans une nébuleuse appelée « The Comm », également orthographiée avec un seul « m ». Une véritable école de cybercriminalité, où racisme cohabite parfois avec misogynie, qui se coordonne sur le réseau social Discord et la messagerie instantanée Telegram. Selon le FBI, les cybercriminels qui gravitent dans ces cercles se sont notamment distingués par des cas de swatting, ces fausses déclarations de crimes destinées à provoquer l’intervention policière d’unités comme le Raid ou le GIGN.
L’ombre de Lapsus$
Ils sont également actifs dans le sim-swapping, ces détournements de lignes téléphoniques à des fins de vol, justement une des marques de fabrique de Scattered Spider. Le vivier de « The Comm » a ainsi permis l’émergence de plusieurs groupes de pirates malveillants, constate SentinelOne. L’entreprise de sécurité informatique cite par exemple le groupe Lapsus$, ces hackers qui cherchaient à la fois à casser leur tirelire mais aussi à gagner en notoriété.
Si cette nébuleuse, devenue l’une des principales cyber-cibles du FBI, est si inquiétante, c’est parce que ces cybercriminels ont réussi à construire un pont avec des groupes spécialisés dans les ransomwares comme ALPHV/BlackCat. Ce type de groupe criminel fonctionne généralement «presque exclusivement avec des acteurs malveillants russophones»rappelle l’analyste de Sekoia.
Alliance rentable
Cette « alliance un peu étrange », selon ses mots, s’est néanmoins révélée visiblement très lucrative. Scattered Spider bénéficie d’un effet de levier supplémentaire sur ses victimes grâce au déploiement de ransomwares, au-delà de l’exfiltration de données. Tandis que le gang derrière le programme malveillant gagne des cibles plus juteuses, situées principalement en Amérique du Nord.
Si Sekoia a repéré des pages de phishing ciblant les entreprises télécoms françaises, le parquet de Paris n’a pas d’enquête en cours dans son portefeuille contre ces cybercriminels. Dans une infographie, la société Crowdstrike a fait état de victimes en France, mais sans donner plus de détails.
Quoi qu’il en soit, leur mode opératoire est aujourd’hui bien documenté. « Ils savent exactement qui ils veulent cibler dans les entreprises cibles, comme les administrateurs ou les ingénieurs système », note l’analyste de Sekoia. Après des campagnes de phishing tournant par exemple autour de l’annulation d’un congé ou d’une réunion, qui permettent un premier accès, les cybercriminels passent alors au sim-swapping, pour mettre à jour un mot de passe ou le jeton d’authentification.
« Ce sont également des exploiteurs actifs de vulnérabilités, ayant préalablement documenté les failles des principales plateformes », note également Nicolas Arpagian. Autant de techniques malveillantes qui leur ont permis de provoquer de véritables désastres financiers. L’attaque informatique contre MGM a coûté à l’entreprise environ 100 millions de dollars, tandis que l’attaque contre César a finalement abouti au paiement d’une rançon de 15 millions de dollars. De lourdes additions qui pourraient pourtant désormais se retourner contre le jeune homme arrêté en Espagne. Selon la police, le suspect a vu l’équivalent de 27 millions de dollars transiter via ses comptes cryptographiques.
