Le mode opératoire « Scattered Spider » désormais utilisé contre l’aviation

Récemment, le nom Scattered Spider a recommencé à faire les gros titres, chez la BBC notamment, après les attaques contre Marks & Spencer et Co-Op, conduites sous la bannière de DragonForce.

Avant cela, les activités associées à Scattered Spider ont également été liées à des attaques sous les enseignes Alphv/BlackCat, Qilin, ou RansomHub, Karakurt, Yanluowang notamment. Et cela avant le déploiement d’un rançongiciel – quand il y en a un d’impliqué : la désignation recouvre essentiellement des activités d’obtention d’accès initial avec un intense recours à l’ingénierie sociale.

Mi-juin, le collectif de cybercriminels associé à ces pratiques a tourné son attention vers le secteur de l’assurance. Ce n’était que temporaire.

Selon Charles Carmakal, directeur technique de Mandiant, ces méthodes d’ingénierie sociale qui font la signature de Scattered Spider sont désormais utilisées des entreprises du secteur de l’aviation civile. Sam Rubin, vice-président sénior en charge du conseil et du renseignement sur les menaces de la division 42 de Palo Alto Networks, partage les mêmes constatations.

Le 13 juin, la compagnie aérienne canadienne WestJet a ainsi été victime d’une cyberattaque. Un peu moins de deux semaines plus tard, c’était au tour d’Hawaiian Airlines.

Cette réorientation survient alors que Thales alertait, le 13 juin, d’une progression de 600 % sur un an de nombre de cyberattaques avec rançongiciel contre le secteur de l’aviation civile, à avril 2025. Avec un total de 27 attaques impliquant 22 enseignes de ransomware différentes.

L’industriel relevait que 71 % des incidents impliquaient l’utilisation d’identifiants volés ou des accès non autorisés à des systèmes critiques.

Le 24 mars dernier, l’aéroport international de Kuala Lumpur a été victime d’une cyberattaque majeure. Les cybercriminels ont exigé une rançon de 10 millions de dollars américains pour restaurer l’accès aux systèmes affectés. L’attaque a ultérieurement été revendiquée sous la bannière de Qilin.

Le secteur de l’Aviation compte toutefois parmi les plus organisés en matière de coopération dans la cybersécurité. Il est notamment doté d’un centre de partage d’informations sur le sujet, un ISAC. 

En France, ce secteur s’est doté, l’an dernier, de son propre CERT. Le secteur aéronautique Hexagonal s’est également attaché à sécuriser sa chaîne logistique.