Scattered Spider
Scattered Spider est un acteur de la menace à motivation financière connu pour son utilisation sophistiquée de l'ingénierie sociale, de l'abus d'identité et des attaques par ransomware à fort impact. Actif depuis le début de l'année 2022, le groupe a évolué rapidement, ciblant un large éventail d'industries dans plusieurs pays.
L'origine de Scattered Spider
Scattered SpiderSCATTERED SPIDER, également connu sous des pseudonymes tels que Storm-0875, LUCR-3, Octo Tempest, Roasted 0ktapus, Scatter Swine et UNC3944, est un adversaire prolifique de la cybercriminalité actif depuis le début de l'année 2022. On pense qu'il opère principalement à partir de pays occidentaux. SCATTERED SPIDER est connu pour ses attaques financières à fort impact, en particulier contre des organisations à hauts revenus. Ses opérations sont passées du vol d'informations d'identification et de l'échange de cartes SIM à des déploiements de ransomware très médiatisés, avec souvent l'extorsion comme objectif final.
Les premières campagnes étaient axées sur les entreprises de gestion de la relation client (CRM) et d'externalisation des processus d'affaires (BPO). Cependant, en avril 2023, leur champ d'action s'est élargi avec l'adoption du ransomware comme principal outil de monétisation. Malgré l'arrestation en 2024 d'adolescents soupçonnés d'être membres du groupe par les forces de l'ordre britanniques et américaines, le groupe reste actif.
Pays ciblés par
Le groupe cible de nombreux pays sur plusieurs continents. Parmi les exemples notables, on peut citer
- Les États-Unis, le Canada et le Brésil dans les Amériques.
- Royaume-Uni, Allemagne, Italie, France et Suisse en Europe.
- Corée du Sud, Japon, Singapour, Inde et Australie dans la région Asie-Pacifique.
Industries ciblées par Scattered Spider
Scattered Spider se distingue par l'étendue des secteurs qu'il cible. Il s'agit notamment des secteurs suivants
- Télécommunications et technologies, en particulier lors de ses premières campagnes.
- La vente au détail, les services financiers et les biens de consommation, qui ont été de plus en plus ciblés à mesure que les ransomwares sont devenus essentiels à leurs activités.
- Un large éventail d'autres secteurs tels que l 'industrie manufacturière, l'hôtellerie, le secteur juridique, la santé, l'énergie et les crypto-monnaies, ce qui indique une approche non discriminatoire de "chasse au gros gibier" axée sur la rentabilité.
Victimes de l'Scattered Spider
Bien que de nombreuses victimes restent anonymes en raison de la nature sensible des incidents, il est confirmé que SCATTERED SPIDER a principalement un impact :
- Les entreprises du Fortune 500
- Organisations à revenus élevés
- Les entreprises ayant accès à des données sensibles et à une infrastructure à l'échelle de l'entreprise
Méthode d'attaque de Scattered Spider
Ces attaques sont réalisées grâce à des tactiques d'ingénierie sociale avancées telles que le smishing, le vishing et l'usurpation de l'identité des services d'assistance informatique. Les attaquants exploitent la confiance des utilisateurs pour contourner l'authentification et s'introduire dans le système.
Ils ciblent les comptes avec des privilèges élevés, en se concentrant souvent sur le personnel des services informatiques, de la sécurité et de la direction.
Utilisation de malware personnalisés (par exemple, CS-Paralyzer), redémarrage en mode sans échec, modification du registre et bootkits UEFI personnalisés (comme BlackLotus) pour désactiver ou contourner les outils EDR/AV.
Récolté via des kits d'phishing , Mimikatz, secretsdump.py, DCSync et des captures de RAM.
Utiliser les outils légitimes et la documentation interne pour cartographier l'environnement.
Par le biais de commandes RDP, SSH, PSExec et Azure, ils exploitent les relations de confiance internes.
Exfiltrer des données de SharePoint, GSuite, des partages de fichiers internes et des dépôts de courriels.
Déploiement de malware ou d'outils RMM tels que AnyDesk, ScreenConnect et TightVNC.
Utiliser des outils tels que Chisel et Plink pour acheminer des données vers des serveurs distants ou des canaux Telegram.
Crypte les données à l'aide de ransomwares tels que Alphv, DragonForce, Qilin et RansomHub. Se livre parfois à une double extorsion.
Ces attaques sont réalisées grâce à des tactiques d'ingénierie sociale avancées telles que le smishing, le vishing et l'usurpation de l'identité des services d'assistance informatique. Les attaquants exploitent la confiance des utilisateurs pour contourner l'authentification et s'introduire dans le système.
Ils ciblent les comptes avec des privilèges élevés, en se concentrant souvent sur le personnel des services informatiques, de la sécurité et de la direction.
Utilisation de malware personnalisés (par exemple, CS-Paralyzer), redémarrage en mode sans échec, modification du registre et bootkits UEFI personnalisés (comme BlackLotus) pour désactiver ou contourner les outils EDR/AV.
Récolté via des kits d'phishing , Mimikatz, secretsdump.py, DCSync et des captures de RAM.
Utiliser les outils légitimes et la documentation interne pour cartographier l'environnement.
Par le biais de commandes RDP, SSH, PSExec et Azure, ils exploitent les relations de confiance internes.
Exfiltrer des données de SharePoint, GSuite, des partages de fichiers internes et des dépôts de courriels.
Déploiement de malware ou d'outils RMM tels que AnyDesk, ScreenConnect et TightVNC.
Utiliser des outils tels que Chisel et Plink pour acheminer des données vers des serveurs distants ou des canaux Telegram.
Crypte les données à l'aide de ransomwares tels que Alphv, DragonForce, Qilin et RansomHub. Se livre parfois à une double extorsion.
TTP utilisées par Scattered Spider
Comment détecter les Scattered Spider avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce qui différencie Scattered Spider des autres groupes de menace ?
Ils combinent de manière unique l'ingénierie sociale, l'échange de cartes SIM et des outils légitimes pour contourner les mécanismes de sécurité sans avoir recours à des exploits de zero-day .
Comment Scattered Spider obtient-il un accès initial ?
Principalement par le smishing, le vishing et le phishing pour récupérer les informations d'identification et persuader les agents du service d'assistance de réinitialiser l'AMF/l'authentification.
Quels types de malware ou d'outils Scattered Spider utilise-t-il ?
Ils utilisent un mélange d'outils RMM commerciaux (par exemple, AnyDesk), de ransomware (par exemple, Alphv, Qilin) et d'utilitaires personnalisés (par exemple, CS-Paralyzer, Pumpy).
Les opérations de Scattered Spider sont-elles entièrement automatisées ?
Non. Ils utilisent des kits d'phishing automatisés, mais la plupart de leurs opérations post-accès reposent sur des actions manuelles de l'opérateur.
L'AMF traditionnelle peut-elle protéger contre l'Scattered Spider?
Pas de manière fiable. Ils utilisent l'échange de cartes SIM, la fatigue de l'AMF et l'abus de SSPR pour contourner les protections de l'AMF.
Quelles sont les techniques de détection qui peuvent aider ?
Le déploiement d'une solution robuste de détection et réponse aux incidents (NDR) est essentiel pour identifier et perturber l'activité de SCATTERED SPIDER. La NDR peut détecter les mouvements latéraux, les communications C2 et les schémas inhabituels d'exfiltration de données dans le trafic est-ouest et nord-sud, même lorsque les adversaires utilisent des outils légitimes tels que RDP, PSExec ou des tunnels cryptés (par exemple, Chisel, Plink).
Quels sont les signes de compromission (IoC) ?
L'utilisation de services de partage de fichiers (par exemple, file.io), les connexions RMM inhabituelles et les réinitialisations MFA initiées par le service d'assistance informatique sont des indicateurs courants.
Comment les Scattered Spider maintiennent-elles la persistance ?
Par le biais de bootkits, de tâches programmées, de nouvelles inscriptions MFA et d'outils de sécurité désactivés.
Scattered Spider utilise-t-il à chaque fois un ransomware ?
Pas toujours. Dans certains cas, ils visent le vol de données et l'extorsion sans déployer de ransomware.