Les CISO devraient fortifier les défenses du bureau et des employés, améliorer les capacités de détection et de suivi des intrusions et reconnaître que le paiement des rançons n’est pas une stratégie viable.
Les Marks & Spencer du Royaume-Uni ont subi une cyberattaque fin avril qui a endommagé les opérations du détaillant haut de gamme et devrait coûter à la société plus de 400 millions de dollars.
Cette attaque a été rapidement suivie d’incidents similaires qui ont frappé deux autres détaillants britanniques emblématiques, Harrods et la coopérative, suscitant une couverture de presse généralisée et alimentant les craintes des consommateurs à travers le Royaume-Uni alors que les étagères étaient vides et que la commande en ligne a cessé.
Les trois incidents ont été attribués à un collectif lâche de jeunes pirates d’anglais natifs appelés araignées dispersées, également connues sous le nom de UNC3944, Starfraud, Scatter Swine, Mouddled Libra, Octo Tempest et 0katpus.
Plus tôt ce mois-ci, Google a averti que Spandred Spider apporterait ses attaques de détail de haut niveau aux États-Unis. Cependant, les experts affirment que Spandred Spider cible déjà les meilleures organisations américaines et que les CISO devraient se préparer maintenant à la façon dont leurs organisations seront traitées avec le groupe de piratage agressif.
Qui est une araignée dispersée?
L’araignée dispersée est considérée comme faisant partie d’une communauté plus large de jeunes cybercriminels connus sous le nom de com, bien que ces groupes soient difficiles à cerner. Ils sont surtout connus aux États-Unis pour leurs attaques audacieuses des ransomwares contre deux propriétaires de casino de Las Vegas, MGM Resorts et Caesars Entertainment.
Lors de la récente série d’attaques, ils ont uni leurs forces avec un puissant acteur de ransomware en tant que service, Dragonforce. Bien qu’il se présente comme des hacktivistes pro-palestiniens, Dragonforce pourrait être l’un des groupes de cybercriminalité opérant en Russie avec l’autorisation tacite du Kremlin.
La récente annonce de changement de marque de DragonForce, dans laquelle elle s’appelle désormais un «cartel», comprenait un avertissement de ne pas attaquer des cibles dans le Commonwealth des États indépendants, un bloc de 10 nations centré sur la Russie et les anciennes républiques soviétiques. Un gang rival, RansomHub, a accusé Dragonforce d’avoir collaboré avec le bras Intel FSB de Russie.
Changement significatif vers l’ingénierie sociale
Au cours des deux dernières années, de nombreux membres de l’araignée dispersés ont été arrêtés et même condamnés, dont un membre clé connu sous le nom de «King Bob», qui a été arrêté au début de 2024 et a ensuite plaidé coupable aux accusations portées contre lui. Six autres membres de l’araignée dispersés significatifs ont été arrêtés fin 2024.
En raison de ces mesures d’application de la loi, au début de 2025, le groupe a semblé avoir interrompu ses opérations. « Pour nous à Silent Push, vers novembre et décembre de l’année dernière, nous avons vu une baisse de leur infrastructure », a déclaré Edwards. «Leurs pages de phishing ont cessé d’être créées. Mais au début de 2025, nous avons ramassé leurs kits de phishing qui reviennent en direct et ciblant une variété de marques.»
Les experts disent qu’en plus de l’alignement avec Dragonforce, Spandred Spider a déplacé son mode d’infiltration préféré du phishing à l’ingénierie sociale dans les organisations.
« Ce qui est important dans la récente campagne britannique, c’est le changement de tactique », a déclaré Edwards. «Ce que nous voyons en ce moment, ce sont les kits de phishing zéro en direct. Les nouveaux trucs ici aux États-Unis semblent être axés sur l’ingénierie sociale exclusivement, où ils tendent la main pour aider les bureaux, essayant de faire des réinitialisations de mot de passe et tendre la main aux employés pour essayer d’obtenir leurs références.»
Le groupe utilise même l’échange de SIM pour se présenter en tant qu’employés légitimes qui recherchent des réinitialisations de mot de passe. « Nous savons qu’ils ont des capacités d’échange de sim », a déclaré Linares, avec l’attaque de Harrods attribuée à l’échange de sim. «Nous savons qu’ils travaillent probablement avec des personnes qui travaillent au FAI ou aux fournisseurs et à les aider à obtenir ces informations.»
« Ce qu’ils feront, c’est souvent qu’ils appellent à faire semblant d’être un employé légitime de l’entreprise », a déclaré Austin Larsen, analyste principal des menaces chez Google Mandiant, lors d’un webinaire sur la défense contre l’UNC3944. « Souvent, ils entrent dans ces appels dans ces bureaux d’aide équipés de nombreuses informations sur leur utilisateur cible. »
Il a ajouté: « Ils sont en mesure de fournir le numéro de sécurité sociale, par exemple, de leur utilisateur cible, de leur adresse ou d’autres informations personnelles. Il est difficile pour les bureaux d’aide de détecter certaines de ces attaques, compte tenu de la quantité de recherche et d’informations que l’acteur a généralement consacré à ces appels téléphoniques. »
Concentrez-vous sur les facteurs humains en tant que première ligne de défense
Compte tenu du succès impressionnant de Sporsed Spider avec l’ingénierie sociale au Royaume-Uni, les experts affirment que les CISO devraient d’abord se concentrer sur les cibles les plus douces de leurs organisations, à savoir les travailleurs de l’assistance et les employés que les pirates cherchent à manipuler.
« Ils savent comment fonctionnent les bureaux d’aide », a déclaré Hamilton. « Ils font un tas de recherches, et ils obtiendront suffisamment d’informations sur un utilisateur pour pouvoir les usurper au service d’assistance pour une réinitialisation de mot de passe, puis ils sont dedans. »
« Ce qui distingue ce groupe, c’est que leurs styles d’attaque ne sont pas techniquement complexes », a déclaré Russo de Palo Alto. « Ce ne sont pas des exploits de vulnérabilités zéro-jour. Ils ciblent les gens, donc ils vont après l’élément humain. »
Les CISO devraient fournir au personnel du bureau avec des procédures de signalement des appels de mot de passe suspects et les guider sur la sortie de ces conversations le plus rapidement possible.
« Ce que les CISO doivent faire, c’est s’assurer que leurs humains sont préparés à ce type d’attaque, qu’ils ont ces drapeaux rouges en place de sorte que lorsqu’une ligne est franchie dans un appel ou une conversation, cela se termine », a déclaré Russo. « S’il y a jamais une question d’identité lorsqu’il parle à quelqu’un, s’il y a une décharge, en cas de manque, c’est un drapeau rouge à dire, vous savez quoi? Je dois contacter votre manager et obtenir une vérification. »
Mais le service d’assistance n’est pas le seul à avoir besoin d’éducation. Les experts disent que tous les employés doivent être conscients des tactiques d’ingénierie sociale du groupe.
«Ils agissent comme l’employé au service d’assistance, mais ils agissent également comme le service d’assistance lorsqu’ils appellent les employés», a déclaré Linares de Huntress. «Cela fonctionne dans les deux sens. J’ai vu cette attaque se produire où ils appellent l’employé et disent:« Hé, nous avons vu cette alerte se produire sur votre machine; nous devons nous connecter ou accéder à cela. Veuillez exécuter ce script et cet outil afin que nous puissions éloigner. »
La vitesse est de l’essence dans ces situations. « Ne leur donnez pas la possibilité de continuer à manipuler vos employés, car plus vous pouvez garder quelqu’un au téléphone ou en ligne, plus vous avez de chances de réussir à violer leurs processus et procédures », a déclaré Russo.
Le suivi des pirates est un must
Malheureusement, les pirates d’araignées dispersés adeptes peuvent embrouiller même les travailleurs des services d’assistance les plus préparés. Les experts disent que les CISO devraient donc avoir des mécanismes de détection et de suivi pour suivre les intrus une fois qu’ils ont eu accès.
«Que font-ils de ces informations d’identification légitimes de l’utilisateur?» Demanda Larsen de Google. «Ils commencent généralement par examiner la documentation interne pour leur organisation de victime. Nous les voyons, par exemple, dans SharePoint Recherche de mots clés tels que VPN, MFA ou Map Network, essayant de mieux comprendre à quoi ressemble leur environnement de victime et comment ils peuvent étendre davantage leur accès dans l’environnement.
Mais après cette phase, ils se déplacent extrêmement rapidement pour se dépasser à travers les actifs de l’organisation. « Une fois qu’ils se déplacent latéralement en utilisant les informations d’identification valides qu’ils ont ou qu’ils peuvent trouver, nous les voyons établir une persistance rapidement et assez largement, ce qui rend la correction beaucoup plus difficile pour les victimes », a déclaré que Larsen a déclaré que les attaquants utilisent souvent des services publics d’accès à distance légitimes que les solutions antivirus ne ramasseront pas. «Ainsi, une enquête utilisant des services publics ou des solutions EDR est nécessaire.»
« Si nous pouvons l’arrêter, c’est idéal, mais la détection est un must », a déclaré Russo. « S’ils sont entrés là-bas, nous devons les détecter. Recherchez les utilisateurs qui font des choses qu’ils ne font pas normalement. Donc, par exemple, ils sont dans le cadre de cet utilisateur, ils ont authentifié le réseau, puis ils commencent à regarder différents magasins de données dans une grande séquence. Eh bien, ce n’est pas normal pour cet utilisateur. Nous devons détecter cela. »
Ne payez pas la rançon
Dans le cas du piratage par Spider des deux opérateurs de casino en 2023, Caesars a émergé relativement indemne car il a payé la rançon demandée de 15 millions de dollars, tandis que MGM Resorts, qui n’a pas payé la rançon, a été arrosée pour 145 millions de dollars en dépenses et en cours de réaction en classe, entre autres coûts.
Cependant, les experts disent que malgré ces exemples, c’est une mauvaise idée de payer une rançon dispersée si elles cryptent avec succès des fichiers et volent des données précieuses.
« Nous savons que payer cette rançon les incite simplement », a déclaré Hamilton de Lumifi. «Cela leur donne de l’argent pour continuer à faire ce qu’ils font.»
De plus, «il est souvent plus rapide de restaurer les sauvegardes», a-t-il ajouté. « Si vous avez de bons contrôles en place, vous avez des sauvegardes immuables, et que vous avez des processus, et vous savez exactement ce que l’ordre des choses à revenir est, vous pouvez le faire plus rapidement que vous pouvez en place, vous avez des sauvegardes immuables Clé de décryptage, qui ne fonctionne plusieurs fois pas très bien. «
« Si vous payez cette rançon, ils pourraient toujours mettre toutes vos données sur Internet parce que ce sont des enfants et ce sont des individus scandaleux », a déclaré Edwards de Silent Push. «Les clés de décryptage peuvent ne pas fonctionner. Et payer ne garantit certainement pas que les données ne fuiront pas. Ce n’est en aucun cas une garantie.»
