Les agences américaines de cybersécurité et de renseignement ont publié un avis conjoint concernant un groupe cybercriminel connu sous le nom de Araignée dispersée qui est connu pour employer des tactiques de phishing sophistiquées pour infiltrer ses cibles.
« Les acteurs de la menace Scattered Spider se livrent généralement au vol de données à des fins d’extorsion en utilisant plusieurs techniques d’ingénierie sociale et ont récemment exploité le ransomware BlackCat/ALPHV aux côtés de leurs TTP habituels », ont indiqué les agences.
L’acteur menaçant, également suivi sous les surnoms Muddled Libra, Octo Tempest, 0ktapus, Scatter Swine, Star Fraud et UNC3944, a fait l’objet d’un profil détaillé de Microsoft le mois dernier, le géant de la technologie le qualifiant de « l’un des plus dangereux ». groupes criminels financiers.
Considéré comme un expert en ingénierie sociale, Scattered Spider est connu pour s’appuyer sur des attaques de phishing, de bombardement rapide et d’échange de carte SIM pour obtenir des informations d’identification, installer des outils d’accès à distance et contourner l’authentification multifacteur (MFA).
Scattered Spider, comme LAPSUS$, ferait partie d’un écosystème de cybercriminalité plus vaste de la génération Z qui se présente sous le nom de Com (autrement orthographié Comm), qui a eu recours à des activités violentes et à des attaques par écrasement.
Un rapport de Reuters publié plus tôt cette semaine a révélé que le Federal Bureau of Investigation (FBI) des États-Unis connaît l’identité d’au moins une douzaine de membres du gang de cybercriminalité.
L’une des astuces notables de son arsenal consiste à usurper l’identité du personnel informatique et à aider le personnel du bureau à utiliser des appels téléphoniques ou des messages SMS pour cibler les employés et obtenir un accès privilégié aux réseaux.
Un accès initial réussi est suivi par le déploiement d’outils de tunneling d’accès à distance légitimes tels que Fleetdeck.io, Ngrok et Pulseway, ainsi que de chevaux de Troie et de voleurs d’accès à distance comme AveMaria (alias Warzone RAT), Raccoon Stealer et Vidar Stealer.
De plus, l’équipe d’extorsion anglophone exploite les techniques de vie hors du territoire (LotL) pour contourner la détection et naviguer dans les réseaux compromis dans le but ultime de voler des informations sensibles en échange d’un paiement.
« Les acteurs de la menace participent fréquemment aux appels et téléconférences de résolution et de réponse aux incidents, susceptibles d’identifier la manière dont les équipes de sécurité les traquent et de développer de manière proactive de nouvelles voies d’intrusion en réponse aux défenses des victimes », ont noté les agences.
Depuis la mi-2023, Scattered Spider a également agi en tant qu’affilié du gang de ransomwares BlackCat, monétisant son accès aux victimes de ransomwares activés par l’extorsion et de vol de données.
Le gouvernement américain exhorte les entreprises à mettre en œuvre une MFA résistante au phishing, à appliquer un plan de récupération, à conserver des sauvegardes hors ligne et à adopter des contrôles d’application pour empêcher l’exécution de logiciels non autorisés sur les points finaux.
