Mandiant Consulting, de Google Cloud, a révélé avoir constaté une baisse d’activité du célèbre groupe Scattered Spider, mais a souligné la nécessité pour les organisations de profiter de cette accalmie pour renforcer leurs défenses.

« Depuis les récentes arrestations liées aux membres présumés de Scattered Spider (UNC3944) au Royaume-Uni, Mandiant Consulting n’a observé aucune nouvelle intrusion directement attribuable à cet acteur de menace spécifique », a déclaré Charles Carmakal, CTO de Mandiant Consulting chez Google Cloud, à The Hacker News dans un communiqué.

« Cela représente une fenêtre d’opportunité critique que les organisations doivent exploiter pour étudier en profondeur les tactiques utilisées par l’UNC3944 avec tant d’efficacité, évaluer leurs systèmes et renforcer leur posture de sécurité en conséquence. »

Carmakal a également averti les entreprises de ne pas « baisser complètement la garde », car d’autres acteurs de la menace comme UNC6040 utilisent des tactiques d’ingénierie sociale similaires à celles de Scattered Spider pour pénétrer les réseaux cibles.

« Alors qu’un groupe peut être temporairement inactif, d’autres ne s’arrêteront pas », a ajouté Carmakal.

Cette évolution intervient alors que le géant de la technologie a détaillé le ciblage agressif des hyperviseurs VMware ESXi par le groupe de pirates motivé par des raisons financières dans le cadre d’attaques ciblant les secteurs de la vente au détail, des compagnies aériennes et des transports en Amérique du Nord.

Le gouvernement américain, aux côtés du Canada et de l’Australie, a également publié un avis mis à jour décrivant les informations commerciales actualisées de Scattered Spider obtenues dans le cadre d’enquêtes menées par le Federal Bureau of Investigation (FBI) pas plus tard que ce mois-ci.

« Les acteurs de la menace Scattered Spider sont connus pour utiliser diverses variantes de ransomware dans des attaques d’extorsion de données, dont plus récemment le ransomware DragonForce », ont déclaré les agences .

Ces acteurs utilisent fréquemment des techniques d’ingénierie sociale telles que le phishing, le push bombing et les attaques par échange de modules d’identité d’abonné pour obtenir des identifiants, installer des outils d’accès à distance et contourner l’authentification multifacteur. Les acteurs de la menace Scattered Spider utilisent systématiquement des réseaux proxy [T1090] et font tourner les noms des machines pour entraver davantage la détection et la réponse.

Le groupe a également été observé se faisant passer pour des employés pour persuader le personnel informatique et/ou du service d’assistance de fournir des informations sensibles, de réinitialiser le mot de passe de l’employé et de transférer l’authentification multifacteur (MFA) de l’employé vers un appareil sous son contrôle.

Il s’agit d’une évolution par rapport aux pirates qui se font passer pour des membres du service d’assistance par téléphone ou par SMS pour obtenir les identifiants des employés ou leur demander d’utiliser des outils commerciaux d’accès à distance permettant un premier accès. Dans d’autres cas, les pirates informatiques ont obtenu les identifiants d’employés ou de sous-traitants sur des plateformes de marché illicites comme Russia Market.

En outre, les gouvernements ont dénoncé l’utilisation par Scattered Spider d’outils malveillants facilement disponibles comme AveMaria, Raccoon Stealer, Vidar Stealer et Ratty RAT pour faciliter l’accès à distance et collecter des informations sensibles, ainsi que le service de stockage cloud Mega pour l’exfiltration de données.

« Dans de nombreux cas, les acteurs de la menace Scattered Spider recherchent l’accès Snowflake d’une organisation ciblée pour exfiltrer de gros volumes de données en peu de temps, exécutant souvent des milliers de requêtes immédiatement », selon l’avis.

« Selon des tiers de confiance, en ce qui concerne les incidents plus récents, les acteurs de la menace Scattered Spider pourraient avoir déployé le ransomware DragonForce sur les réseaux des organisations ciblées, chiffrant ainsi les serveurs intégrés VMware Elastic Sky X (ESXi). »