Selon SCYTHE (référence: scythe.io), le groupe anglophone Scattered Spider est passé d’arnaques de SIM swapping menées par des adolescents à des opérations de ransomware sophistiquées visant des organisations majeures au Royaume‑Uni et aux États‑Unis, notamment dans le retail, l’hôtellerie et la finance. Leurs attaques s’appuient sur une ingénierie sociale avancée pour manipuler les équipes de support IT et sur l’abus d’outils administratifs légitimes. L’analyse souligne le besoin de protocoles stricts côté help desk, de formations et d’une surveillance accrue des comptes à privilèges et des outils de gestion à distance.
Aspect technique mis en avant 🕷️:
- Vecteur initial (vishing/MFA) : appels au support IT pour réinitialiser des dispositifs MFA et obtenir l’accès initial.
- Collecte d’identifiants : harvesting depuis Active Directory et les données de navigateurs.
- Persistance : déploiement d’outils légitimes de remote management comme AnyDesk, TeamViewer, ScreenConnect.
- Mouvement latéral : utilisation de PSExec et de DCSync.
- Élévation/vol de secrets : dump mémoire ciblant LSASS.
- Tâches planifiées : création de tâches imitant des processus système.
- Monétisation : double extorsion après exfiltration puis chiffrement massif de fichiers.
Détection et signaux à surveiller 🔎:
- Exécutions inhabituelles d’outils d’accès à distance.
- Énumération Active Directory et accès administratifs suspects.
- Chiffrement en masse de fichiers.
- Modèles d’accès anormaux sur des comptes à privilèges.
IOCs et TTPs:
- IOCs: aucun indicateur spécifique fourni dans l’extrait.
- TTPs: vishing pour reset MFA, harvesting AD et navigateurs, persistance via AnyDesk/TeamViewer/ScreenConnect, latéral via PSExec/DCSync, dump LSASS, tâches planifiées déguisées, double extorsion après exfiltration.
Il s’agit d’une analyse de menace présentant le profil et les TTPs de Scattered Spider, avec un objectif informatif et de sensibilisation aux techniques employées.
🔗 Source originale : https://scythe.io/library/threat-intel-scattered-spider-unc3944-your-help-desk-became-a-security-risk