Selon KrebsOnSecurity, des procureurs américains ont engagé des poursuites contre Thalha Jubair (19 ans, UK) pour son rôle présumé au sein de Scattered Spider, tandis que lui et Owen Flowers (18 ans) faisaient face à des accusations au Royaume-Uni liées à des intrusions et extorsions visant des entreprises majeures.

— Contexte et faits saillants —

  • Deux suspects, Thalha Jubair et Owen Flowers, sont accusés d’avoir participé à des campagnes d’extorsion attribuées à Scattered Spider/0ktapus/UNC3944, totalisant au moins 115 M$ de rançons.
  • Les cibles incluent des retailers britanniques (Marks & Spencer, Harrods, Co-op Group), Transport for London, ainsi que des fournisseurs de santé américains et des entreprises comme MGM Resorts et Caesars Entertainment (attaque de 2023 liée à l’affilié ALPHV/BlackCat).
  • Les autorités américaines disent avoir saisi 36 M$ en cryptomonnaies sur un serveur contrôlé par Jubair et l’avoir relié à des achats de cartes cadeaux livrant à son domicile; les procureurs britanniques évoquent la possession de plus de 50 M$ en crypto liée aux attaques.

— Antécédents et réseau —

  • Les alias attribués à Jubair recoupent des identités liées à LAPSUS$ (2021–2022) et à la vente de fausses requêtes EDR (Emergency Data Requests) via des comptes d’entités policières compromises.
  • Les auteurs opéraient dans des communautés Com (anglophones) comprenant des offres « IRL » de violence-as-a-service (brickings, home invasions, etc.).
  • Les procureurs américains allèguent au moins 120 intrusions contre 47 entités US (mai 2022–sept. 2025). Un magistrat US aurait été ciblé en janvier 2025 via ingénierie sociale (reset de mot de passe) dans une affaire liée.

— TTPs observés (techniques, tactiques et procédures) —

  • SIM swapping à grande échelle contre opérateurs US/UK (notamment T‑Mobile), via phishing vocal/SMS d’employés et détournement de numéros pour capter 2FA par SMS/appel.
  • Phishing SSO/Okta avec robots Telegram transmettant les identifiants en temps réel; campagnes ayant conduit à des intrusions chez LastPass, DoorDash, Mailchimp, Plex, Signal, etc.
  • Accès BPO/télécoms via VPN/Citrix, élévation de privilèges jusqu’à contrôleur de domaine; monétisation via forums cybercriminels.
  • Développement de malwares (rootkits, bootkits, loaders) visant la persistance, le contournement d’EDR (SentinelOne, CrowdStrike) et l’accès shell.
  • Fausse EDR (exploitation de comptes d’organismes d’application de la loi pour exiger des données d’abonnés).
  • Ingénierie sociale de fournisseurs tiers IT; ransomware via l’affilié ALPHV/BlackCat.

— IOCs et artefacts (non techniques, tels que handles et canaux) —

  • Groupes/aliases: Scattered Spider, 0ktapus, UNC3944; alias attribués à Jubair: EarthtoStar/Earth2Star, Brad/Brad_banned, Amtrak, Asyntax, Everlynn, RocketAce, Lopiu, Operator, Clark, Miku.
  • Canaux/communautés: Star Chat, Star Sanctuary, Com; forum: Exploit; service visé: Doxbin.
  • Victimes citées: MGM Resorts, Caesars Entertainment, Transport for London, Marks & Spencer, Harrods, Co-op Group, T‑Mobile, ainsi que LastPass, DoorDash, Mailchimp, Plex, Signal.

— Cadre légal et mesures —

  • États-Unis: chefs d’accusation incluant conspiration de fraude informatique, fraude informatique, conspiration de fraude par câble, fraude par câble, conspiration de blanchiment (peines cumulées maximales théoriques jusqu’à 95 ans si extradition et condamnation).
  • Royaume-Uni: chefs au titre du Computer Misuse Act et non-divulgation de clé de déchiffrement (peines maximales pouvant aller jusqu’à la réclusion à perpétuité selon l’impact).
  • Politique UK (juillet 2025): interdiction encadrée de paiement de rançon (ban total pour les infrastructures critiques et le secteur public; notification obligatoire des incidents).

🎯 En somme, il s’agit d’un article de presse spécialisée détaillant une opération de police et le profilage d’un acteur de menace, avec un rappel étendu des TTPs et de l’historique du groupe.

🔗 Source originale : https://krebsonsecurity.com/2025/09/feds-tie-scattered-spider-duo-to-115m-in-ransoms/