Formée de hackers internationaux, l'alliance Scattered Spider gagne le respect des cybercriminels russes et inquiète le FBI.
Ils n'agissent pas au grand jour, mais préfèrent les ténèbres du dark web. De jeunes hackers des États-Unis, du Royaume-Uni et du Canada se sont associés à des pirates russes spécialisés en ransomware pour former le gang Scattered Spider.
En 2023, ces pirates ont lancé des attaques contre les hôpitaux, les industries pharmaceutiques, les entreprises IT et même les plus grands hôtels et casinos de Las Vegas. Montant de l'ardoise pour les victimes : plus de 1 milliard de dollars.
Un gang organisé, déployé à travers le monde, des pertes colossales pour les victimes qui fragilisent l'économie et la sécurité mondiales, il y a largement de quoi angoisser Bryan Vorndran, le responsable principal de la cybersécurité au FBI. « Peu importe comment vous interprétez les chiffres, c'est un problème pour l'économie mondiale, pour l'économie américaine et pour la sécurité des États-Unis », s'est-il inquiété auprès de CBS News. Une menace majeure à ne pas prendre à la légère.
Scattered Spider, de la naissance à l'alliance avec BlackCat
Majoritairement anglophone, le gang, baptisé Scattered Spider par le FBI, est reconnu pour ses attaques de ransomware et son expertise. Ses membres parlent parfaitement différentes langues et savent se fondre dans les cultures locales des pays qu'ils ciblent. Le groupe fait partie d'une sous-culture en ligne appelée « la Communauté » ou « la Com », qui inclut des milliers de membres, principalement des hommes de moins de 25 ans, et même des adolescents. Le groupe est également connu sous les noms de Star Fraud, UNC3944 et Octo Tempest, et s'est fait un nom en piratant des entreprises telles que Microsoft, NVIDIA et Electronic Arts.
Leur notoriété a conduit à une alliance avec le groupe russe BlackCat, également connu sous le nom d'ALPHV. BlackCat, qui est composé d'anciens membres de DarkSide/BlackMatter, responsable de l'attaque contre Colonial Pipeline en 2021, considère Scattered Spider comme un « multiplicateur de force » pour ses opérations. Ensemble, ils partagent des compétences, des plateformes et des logiciels malveillants pour mener à bien des attaques de ransomware dévastatrices.
Jon DiMaggio, stratège principal de la sécurité pour Analyst1, a qualifié ce phénomène de « rebranding ». Ce spécialiste en ransomwares et des relations entre divers groupes de cybercriminels, a expliqué que dans le modèle de ransomware-as-a-service, il existe un groupe central qui agit comme un provider de services, fournissant toutes les ressources et services d'attaque nécessaires pour faciliter leur opération. Ensuite, il y a les hackers qui agissent comme des sous-traitants pour eux.
Des braquages à la Ocean's Eleven qui font réagir la NSA
En septembre 2023, une attaque de ransomware orchestrée par les groupes de cybercriminels Scattered Spider et BlackCat a coûté plus de 100 millions de dollars à MGM Resorts. Cette attaque a perturbé les opérations de plusieurs hôtels et casinos renommés du Strip de Las Vegas, dont le MGM Grand, Aria, Mandalay Bay, New York New York et le Bellagio. Les conséquences ont été dévastatrices, avec des milliers de machines à sous qui ont cessé de fonctionner, des dysfonctionnements des ascenseurs, des barrières de stationnement et des clés de porte numériques, ainsi que des réservations bloquées. Un mois après l'attaque, lors d'une conférence, le P.-D.G. de MGM Resorts, Bill Hornbuckle, a admis que les perturbations avaient été dévastatrices.
Les pirates ont exigé 30 millions de dollars pour déverrouiller les données de MGM. L'entreprise a refusé, mais a subi une perte de revenus estimée à 100 millions de dollars, plus des millions supplémentaires pour reconstruire ses serveurs. Pour infiltrer le réseau de MGM, les hackers se sont concentrés sur un employé en collectant des informations sur le dark web et des sources ouvertes, comme LinkedIn. Ils ont réussi à convaincre le support technique de MGM de réinitialiser le mot de passe de l'employé, permettant ainsi aux pirates de s'introduire dans les ordinateurs de MGM et de déclencher des logiciels malveillants destructeurs.
Les ransomwares russes sont devenus une telle menace que les cyberguerriers d'élite de la National Security Agency ont rejoint le combat. Rob Joyce, ancien directeur de la cybersécurité à la NSA, a déclaré que l'attaque du Colonial Pipeline était un signal d'alarme, une véritable déclaration de guerre entre le gang Scattered Spider et les autorités.
Source : CBS News