Ransomware

Le site d’extorsion Scattered Lapsus$ Hunters devient sombre : quelle est la prochaine étape ?

Lucas Morel

Le groupe divulgue des données volées à un petit sous-ensemble des 39 entreprises qu’il a menacées la semaine dernière.

Est-ce vraiment la fin du chemin pour la célèbre alliance de ransomwares Scattered Lapsus$ Hunters ?

La semaine dernière, le supergroupe d’extorsion a vu ses domaines dark web et clearnet saisis par la police, dernier revers en date pour l’alliance qui avait menacé de divulguer les données Salesforce qui auraient été volées à 39 entreprises, dont Google, lors d’une attaque massive d’ingénierie sociale.

Toutefois, l’un des sites du dark web du groupe est resté accessible. Comme promis, le 10 octobre à 23 h 59 HAE, le groupe l’a utilisé pour divulguer des données volées à une demi-douzaine d’entreprises, ce qui, selon un message Telegram, serait le coup d’envoi du groupe avant sa retraite.

Les sociétés dont les noms sont apparus sur le site jusqu’à sa disparition samedi soir étaient Qantas Airways, Vietnam Airlines, Albertsons Companies, GAP Inc, Fujifilm Holdings et Engie Resources.

Le groupe promet de revenir

Malgré la fuite, ainsi que l’incertitude quant au sort d’autres données qui auraient pu être récupérées lors de la campagne contre les clients de Salesforce, l’opération de la semaine dernière suggère que la police perturbe plus efficacement l’infrastructure utilisée par certaines campagnes de ransomware.

Malgré cela, dans un message typiquement moqueur sur Telegram attribué à Scattered Lapsus$ Hunters, le groupe a promis qu’il reviendrait en 2026 avec une nouvelle plateforme « d’extorsion en tant que service » par abonnement.

Ce serait « similaire au fonctionnement d’un programme RaaS (ransomware-as-a-service) mais sans verrouillage/cryptage », a déclaré le groupe dans un message, supprimé depuis par Telegram.

Les clients pourraient « utiliser notre nom pour extorquer votre cible » en partant du principe que la marque du groupe rendrait les négociateurs de ransomwares plus susceptibles de répondre.

Les retraits ne font que ralentir l’activité

Selon Jeremy Kirk, rédacteur en chef du service de renseignement sur les cybermenaces au sein de la société de recherche Intel 471, la police se rapproche des groupes individuels représentés dans Scattered Lapsus$ Hunters depuis plus de trois ans. Cela comprenait l’arrestation de membres présumés. Restait à savoir si cela porterait préjudice au groupe à long terme.

« Les forces de l’ordre ont créé des précédents au cours des dernières années en procédant à des suppressions répétées, et les acteurs malveillants savent qu’il est de plus en plus risqué d’administrer ces forums », a déclaré Kirk. « Du point de vue des renseignements sur les cybermenaces, les forums centralisés offrent une grande visibilité sur le courtage d’accès, les fuites de données et bien plus encore. » Cependant, a-t-il ajouté, même si « les saisies de domaines sont des victoires tactiques, les acteurs malveillants disposent souvent de sauvegardes de leurs logiciels et données de forum et peuvent relancer les forums ».

Selon Kirk, « cette activité ne s’arrête pas lorsque l’infrastructure du forum est perturbée, mais se disperse ailleurs, dans des endroits tels que Telegram, où elle peut être plus difficile à suivre ».

Tant que d’autres membres restent en liberté, Kirk reste pessimiste et estime que l’action de la police fera bien plus que ralentir l’activité pendant un certain temps.

Les données volées restent menacées

Pendant ce temps, d’autres données volées lors de la campagne Salesforce resteront menacées. Il est fort probable que ces informations soient divulguées à d’autres entreprises criminelles à un moment donné. C’est cette simple asymétrie qui a transformé les violations de données en un énorme business : les données volées ne peuvent jamais être récupérées et existent pour toujours dans un état piraté. Cela reste vrai, qu’une rançon soit payée ou non.

« Nous ne nous attendons pas à ce que l’activité de ces acteurs malveillants diminue, et ils restent une menace réelle pour les entreprises en raison de leurs compétences en ingénierie sociale et de leur connaissance approfondie des procédures d’assistance et des chaînes d’approvisionnement en logiciels d’entreprise », a déclaré Kirk.

Cela met en évidence un autre problème sous-jacent qui permet aux auteurs de ransomwares de se ressusciter : ils savent souvent où se situent les faiblesses de la technologie et des processus avant les défenseurs. Pourquoi? Spéculer, parce que les criminels les recherchent, alors que les défenseurs ont des raisons de ne pas le faire.

Ces criminels unissent également leurs forces pour devenir plus efficaces ; Scattered Lapsus$ Hunters n’est pas la seule alliance dans le monde de la cybercriminalité. Dans un autre développement récent, trois des plus grandes opérations de ransomware russes, DragonForce, Qilin et LockBit, ont annoncé qu’elles avaient formé un cartel criminel visant à coordonner les attaques et à partager des ressources en réponse à ce qu’elles ont décrit comme un environnement d’extorsion « difficile ».

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?