Cybermenaces : tout savoir sur Scattered Spider

Août 2023. Caesars Entertainement, opérateurs d’hôtels-casinos de renom à Las Vegas, est victime de cyberattaque. De même que son confrère et concurrent MGM Resorts Entertainment. Derrière ces attaques, Bloomberg désignait alors celui que CrowdStrike suivait sous le nom de Scattered Spider.

Ce groupe, suivi par Mandiant sous la référence UNC3944, ou encore par Microsoft sous Storm-0875, et Group-IB avec le nom de Roasted 0ktapus, est connu pour ses talents en matière d’ingénierie sociale, et de contournement de l’authentification à facteurs multiples (MFA).

Les attaques conduites précédemment contre Okta et Riot Games, ou encore Coinbase, notamment, lui sont attribuées. Les autorités américaines se sont longuement penchées sur ce groupe associé à Lapsus$, mais aux contours fluides et aux liens variés.

Tout récemment, le nom Scattered Spider a recommencé à faire les gros titres, chez la BBC notamment, après les attaques contre Marks & Spencer et Co-Op, conduites sous la bannière de DragonForce.

Avant cela, les activités associées à Scattered Spider ont également été liées à des attaques sous les enseignes Alphv/BlackCat, Qilin, ou RansomHub, Karakurt, Yanluowang notamment. Et cela avant le déploiement d’un rançongiciel – quand il y en a un d’impliqué : la désignation recouvre essentiellement des activités d’obtention d’accès initial.

Ce sont d’ailleurs les méthodes employées dans cette phase des cyberattaques qui font la marque de Scattered Spider. « Au début de ses activités, UNC3944 ciblait principalement les organisations liées aux télécommunications, afin de faciliter les opérations d’échange de cartes SIM. Cependant, après s’être tourné vers les ransomwares et l’extorsion de données début 2023, le groupe a touché des organisations issues d’un éventail plus large de secteurs. Depuis lors, nous avons régulièrement observé UNC3944 mener des vagues d’attaques contre un secteur spécifique, comme les organisations de services financiers fin 2023 et les services alimentaires en mai 2024 », expliquait récemment Google.

En résumé, la spécialité, ici, c’est le contournement des mécanismes d’authentification à facteurs multiples (MFA) à grand renfort d’ingénierie sociale, par des individus nativement anglophones.

Pour décrire Scattered Spider, certains parlent de « communauté informelle de hackers » : ce sont avant tout ces pratiques qui font le label. De quoi expliquer que le « groupe » vive encore, alors même que certains individus associés à cette étiquette ont été interpelés.

Tyler Robert Buchanan a ainsi été interpelé en Espagne en juin 2024, et extradé au printemps vers les États-Unis. Il faisait partie des cinq « Scattered Spider » désignés par la Justice américaine à l’automne 2024. Même chose pour Noah Michael Urban, arrêté en janvier 2024 en Floride, ou encore un adolescent britannique de 17 ans.