L’Araignée dispersée tisse une toile encombrante

Thèmes:

23 déc. 2023

Remarque : cet article a été initialement publié sur SmarterMSP.

L’Araignée dispersée (Scattered Spider) est peut-être en train de se faufiler dans votre boîte de messagerie comme l'araignée Itsy-Bitsy se faufilerait dans vos conduites d'eau.

La CISA a tiré la sonnette d'alarme à propos de l’Araignée dispersée en raison des ravages qu’elle peut causer.

Le bulletin de cette agence précise que « l’Araignée dispersée est un groupe de pirates qui s’attaque aux grandes entreprises à leurs services d’assistance informatique en sous-traitance. Selon des sources tierces de confiance, les agissements de l’Araignée dispersée consistent en général à se procurer des données frauduleusement, à des fins d’extorsion. Nous savons également que ce groupe a parfois fait usage du logiciel rançonneur BlackCat (ALPHV), en sus de ses méthodes habituelles. »

Les experts s’accordent à dire que, pour certaines organisations — mais pas pour toutes —, il est indispensable de se préserver contre cette menace. « Il semble que ces individus ne s’attaquent qu’à certaines catégories d’organisations. Les entreprises manufacturières, les établissements scolaires et les agences gouvernementales semblent avoir été, dans l’ensemble, épargnés, si l’on en croît la situation jusqu’à présent », a déclaré Stan Spencer, un spécialiste de la sécurité informatique de Toledo, dans l’Ohio, qui a enquêté sur l’Araignée dispersée dans le passé.

L’Araignée dispersée, ou UNC3944, est un groupe de pirates informatiques sophistiqués qui s’attaque à des organisations de grande envergure. « Ce groupe semble viser tout particulièrement les secteurs des télécommunications, de l'hôtellerie, de la vente au détail, des médias et des services financiers », a précisé M. Spencer.

Et il s’agit d’un groupe qui se distingue par les talents remarquables de ses membres en matière d’ingénierie sociale. M. Spencer a ajouté que « les messages envoyés par ce groupe sont si convaincants et viennent tellement à point nommé qu’ils sont allés jusqu’à duper des personnes qui auraient dû être mieux avisées. Ces criminels se donnent une apparence très trompeuse. Ils recourent aussi à l'ingénierie sociale, à l’hameçonnage et au piratage de cartes SIM pour pénétrer dans les réseaux de leurs victimes ».

Pour le secteur de l’infogérance, la vigilance s’impose

Pour les prestataires de services d’infogérance, il est impératif d’être vigilant face aux méthodes de l’Araignée dispersée. Pour causer des dégâts, cette organisation préfère l’usage d’outils légitimes à celui de logiciels malveillants. Comme M. Spencer nous l’a expliqué : « Quand les criminels de l’Araignée dispersée parviennent à s’infiltrer dans un réseau, ils recourent par la suite à des techniques diverses pour arriver à leurs fins — qu’ils s’agisse de se procurer frauduleusement à des données, d’utiliser des logiciels rançonneurs ou de perturber les opérations de leur cible. Je les ai vus faire usage d’outils légitimes pour accès à distance à un système. Cette tactique rend leur intrusion plus difficile à déceler en temps opportun. »

Ces pirates sont également en constante évolution et modifient sans cesse leur méthodologie. « Juste au moment où vous pensiez avoir une bonne connaissance de ce groupe et de ses méthodes, il change encore », a commenté M. Spencer. Certaines des attaques les plus notables des temps récents peuvent être attribuées à l’Araignée dispersée :

L’attaque de décembre 2022 contre Ubiquiti, par laquelle le groupe a atteint Ubiquiti, un fabricant d'équipements de réseautique. Les pirates ont pu accéder aux systèmes d’Ubiquiti en se procurant par hameçonnage les identifiants d’une personne qui y travaillait. Ils se sont ensuite procuré un gros volume de données, dont du code source, des dossiers financiers et des informations concernant des clients. Ubiquiti a dû mettre ses systèmes hors service pendant plusieurs jours et a subi un manque à gagner s’élevant à des millions de dollars. M. Spencer nous a expliqué que « l'attaque contre Ubiquiti, opération qui a conjointement recouru à l’hameçonnage et au vol d'identifiants, illustre très bien les méthodes habituelles de l’Araignée dispersée ».

L’attaque de septembre contre le groupe de loisirs MGM. Des enquêteurs et les autorités ont découvert que l’Araignée dispersée avait collaboré avec ALPHV, groupe de piratage par rançongiciel, pour mener à bien cette attaque. L’un des criminels a appelé le service d'assistance de l’entreprise en se faisant passer pour un employé. Cette manœuvre a permis aux pirates d’accéder aux systèmes de la MGM, et ils se sont par la suite procuré des données, dont des dossiers financiers et des informations sur des clients. Le groupe MGM a dû payer un total de 200 millions de dollars pour récupérer ses données volées. « Il faudrait que les gens mettent beaucoup de pièces dans des machines à sous pour que l’on en arrive à 200 millions de dollars », a ironisé M. Spencer.

Le facteur motivant est l’argent

Comme pour la plupart des crimes informatiques, la motivation est l’argent. Les pirates visent les organisations qui détiennent des actifs de valeur, comme des droits de propriété intellectuelle, des données sur leurs clients ou des informations de nature financière. « L’Araignée dispersée vise les données les plus prisées, celles qui peuvent rapporter le plus d'argent sur le web clandestin », note M. Spencer.

Comment vous protéger contre l’Araignée dispersée ?

À ce sujet, M. Spencer est d'accord avec la plupart des conseils donnés par la CISA, dont les suivants :

Procédez à des contrôles sur l’usage d’outils d’accès à distance : « Les méthodes de l’Araignée dispersée sont basées sur l’usage de ces outils. Ces contrôles sont donc d’une importance capitale », a déclaré M. Spencer. Il est indispensable que les entreprises et leurs prestataires de services d’infogérance sachent quels sont les outils d’accès à distance qui sont utilisés pour leurs systèmes.

Examinez les fichiers d’enregistrement d’événements pour y détecter les exécutions éventuelles de logiciels d'accès à distance : Selon M. Spencer, « vous pourrez rapidement déceler les cas anormaux où des programmes sont lancés à partir d’un fichier exécutable portable . Il s’agit de l'une des signatures de l’activité de l’Araignée dispersée. »

Adoptez un logiciel de sécurité : L’objectif est de détecter les cas où un logiciel d'accès à distance est chargé en mémoire sans que rien d’autre ne se produise. « Voilà un autre outil précieux pour combattre l’Araignée dispersée », a déclaré M. Spencer.

Exigez des dispositifs d’accès à distance autorisés : L’usage de ces outils à partir de points intérieurs à votre réseau doit être préféré à l’usage d’outils d’accès à distance agréés, comme des RPV ou des VDI. « Ces mesures, alliés à une sensibilisation des utilisateurs, relèvent toutes du bon sens », a déclaré M. Spencer. « En les mettant en œuvre, vous pouvez faire pencher la balance en votre faveur. Cependant, les criminels de l’Araignée dispersée sont extrêmement habiles pour déjouer les défenses, et ils s’acharnent. Ils vont continuer à tenter d’exploiter toutes vos vulnérabilités jusqu'à ce qu'ils trouvent un moyen de s’incruster dans votre système. »

Kevin Williams

Kevin Williams est journaliste basé dans l'Ohio. Kevin a écrit pour diverses publications, notamment le Washington Post, le New York Times, USA Today, le Wall Street Journal, National Geographic et d'autres. Il a d'abord écrit sur le monde en ligne à ses débuts pour le magazine "Online Access", aujourd'hui disparu, au milieu des années 90. Connectez-vous avec lui sur LinkedIn.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE