Cybersécurité : Les agences américaines mettent en garde contre l’écosystème de cybercriminalité de la Génération Z Scattered Spider

« Les acteurs de la menace Scattered Spider se livrent généralement à des vols de données à des fins d’extorsion en utilisant de multiples techniques d’ingénierie sociale et ont récemment utilisé le ransomware BlackCat/ALPHV en plus de leurs tactiques habituelles », ont déclaré les agences.

L’acteur de la menace, également repéré sous les noms de Muddled Libra, Octo Tempest, 0ktapus, Scatter Swine, Star Fraud et UNC3944, a fait l’objet d’un profil détaillé de la part de Microsoft le mois dernier, le géant de la technologie le qualifiant de « l’un des groupes criminels financiers les plus dangereux ».

Considéré comme un expert en ingénierie sociale, Scattered Spider est connu pour s’appuyer sur des attaques de phishing, de prompt bombing et d’échange de cartes SIM pour obtenir des informations d’identification, installer des outils d’accès à distance et contourner l’authentification multifactorielle (MFA).

Scattered Spider ferait partie d’un vaste écosystème de cybercriminalité de la génération Z qui se désigne lui-même sous le nom de Com (alternativement orthographié Comm) et qui a recours à des activités violentes et à des attaques de type « swatting ». Un rapport de Reuters publié en début de semaine révélait que le Bureau fédéral d’enquête des États-Unis (FBI) connaissait l’identité d’au moins une douzaine de membres de ce gang de cybercriminels.
L’une des principales astuces de ce gang est l’usurpation de l’identité du personnel informatique et du service d’assistance, par le biais d’appels téléphoniques ou de messages SMS, afin de cibler les employés et d’obtenir un accès privilégié aux réseaux. L’accès initial réussi est suivi par le déploiement d’outils légitimes de tunnel d’accès à distance tels que Fleetdeck.io, Ngrok et Pulseway, ainsi que de chevaux de Troie et de voleurs d’accès à distance tels que AveMaria (alias Warzone RAT), Raccoon Stealer et Vidar Stealer. En outre, l’équipe d’extorsion anglophone s’appuie sur des techniques de « living-off-the-land » (LotL) pour échapper à la détection et naviguer dans des réseaux compromis dans le but ultime de voler des informations sensibles en échange d’un paiement. « Les acteurs de la menace se joignent fréquemment aux appels et téléconférences de remédiation et de réponse aux incidents, probablement pour identifier la façon dont les équipes de sécurité les chassent et développent de manière proactive de nouvelles voies d’intrusion en réponse aux défenses des victimes », ont noté les agences.Depuis la mi-2023, Scattered Spider a également agi en tant qu’affilié du gang BlackCat ransomware en monnayant son accès aux victimes pour l’extorsion de données par ransomware. Le gouvernement américain exhorte les entreprises à mettre en œuvre un plan de reprise d’activité (MFA) résistant à l’hameçonnage, à maintenir des sauvegardes hors ligne, à adopter des contrôles d’application et à empêcher l’exécution de points d’extrémité de logiciels non autorisés.