Ransomware : arrestations outre-Manche en lien avec l’attaque contre Marks & Spencer

Deux adolescents de 19 ans, un troisième de 17 ans, et une jeune femme de 20 ans. Ce sont quatre personnes arrêtées le 10 juillet entre les Midlands de l’Ouest et Londres.

Ils sont soupçonnés d’infractions à la loi sur l’utilisation abusive des ordinateurs, de chantage, de blanchiment d’argent et de participation aux activités d’un groupe criminel organisé, indique l’agence britannique de lutte contre la criminalité (NCA) dans un communiqué de presse.

Interpellés à leurs domiciles respectifs, les prévenus sont entendus par les policiers dans le cadre de l’enquête sur les cyberattaques survenues au printemps contre Marks & Spencer, Co-Op, et Harrods.

Le premier a été attaqué autour du 20 avril. Co-Op et Harrods ont suivi quelques jours plus tard. Leur point commun : un mode opératoire basé sur l’ingénierie sociale pour contourner les mécanismes d’authentification à facteurs multiples (MFA) et baptisé « Scattered Spider ».

Ce nom a été récemment associé à la marque de ransomware DragonForce. Avant cela, les activités associées à Scattered Spider ont également été liées à des attaques sous les enseignes Alphv/BlackCat, Qilin, ou RansomHub, Karakurt, Yanluowang notamment. Et cela avant le déploiement d’un rançongiciel, quand il y en a un d’impliqué : la désignation recouvre essentiellement des activités d’obtention d’accès initial.

Pour décrire Scattered Spider, certains parlent de « communauté informelle de hackers » : ce sont avant tout ces pratiques qui font le label. De quoi expliquer que le « groupe » vive encore, alors même que certains individus associés à cette étiquette ont été interpellés.

Tyler Robert Buchanan a ainsi été interpellé en Espagne en juin 2024, et extradé au printemps vers les États-Unis. Il faisait partie des cinq « Scattered Spider » désignés par la Justice américaine à l’automne 2024. Même chose pour Noah Michael Urban, arrêté en janvier 2024 en Floride, ou encore un adolescent britannique de 17 ans.

Après avoir été utilisé contre les trois grandes enseignes de commerce de détail britanniques – et d’autres également –, le mode opératoire Scattered Spider a récemment été employé contre le secteur de l’assurance et celui de l’aviation civile. Le 13 juin, la compagnie aérienne canadienne WestJet a ainsi été victime d’une cyberattaque. Un peu moins de deux semaines plus tard, c’était au tour d’Hawaiian Airlines.

À la suite d’une cyberattaque dont le coût a été évalué plus de 300 millions de livres sterling, le PDG de Marks & Spencer a récemment appelé à une généralisation de l’obligation de déclaration des cyberattaques avec rançongiciel, afin d’améliorer l’acquisition et le partage de connaissances sur les pratiques des cybercriminels.