États-Unis, Royaume-Uni

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Dans un récent incident de réponse, l’équipe de Digital Forensics and Incident Response (DFIR) a découvert que le ransomware SafePay avait été déployé sur les machines des victimes. La première activité confirmée de ce ransomware remonte à septembre 2024, et depuis, le groupe responsable a intensifié ses activités, ajoutant de plus en plus de victimes à son site de fuite de données (DLS). Les cibles de ce groupe incluent à la fois le secteur public et privé à travers le monde, avec des victimes notables aux États-Unis et au Royaume-Uni. Dans le cas étudié par Proven Data, les fichiers chiffrés portaient l’extension .safepay, et la note de rançon était nommée readme_safepay.txt. ...

Selon un rapport du Threat Intelligence Group de Google, les détaillants américains devraient prêter attention aux récentes cyberattaques qui ont visé des entreprises britanniques. Ces attaques sont attribuées à un collectif connu sous le nom de Scattered Spider, motivé par des gains financiers. Le groupe Scattered Spider est suspecté d’avoir orchestré plusieurs cyberattaques, mettant en lumière des vulnérabilités potentielles dans les systèmes de sécurité des entreprises ciblées. Bien que les détails spécifiques des attaques ne soient pas divulgués, l’avertissement de Google souligne l’importance pour les détaillants américains de renforcer leurs mesures de sécurité. ...