Les experts ayant analys les rcentes cyberattaques qui ont vis les groupes amricains de casinos et d’htels MGM Resorts et Caesars pensent que les attaquants ne cherchaient pas simplement exfiltrer des donnes qui leur serviront ensuite extorquer de l’argent aux victimes. Ces pirates, qui appartiennent la gnration Z, seraient galement la recherche du pouvoir, d’influence et de notorit. Selon les experts, ces pirates sont plus jeunes et plus au fait de la technologie, et se distinguent par leur capacit exploiter les technologies modernes et les tactiques inhabituelles d’ingnierie sociale, ce qui leur permet de djouer les dfenses numriques les plus sres.
Une nouvelle gnration de pirates informatiques « trs jeunes » serait actuellement l’uvre dans le monde. Ces pirates appartenant la gnration Z cibleraient tous les secteurs sans exception, des tlcommunications la finance, en passant par l’htellerie et les mdias. Ils agiraient de manire inhabituelle pour les cybercriminels et seraient « extraordinairement dous » pour l’ingnierie sociale et le contournement de l’authentification multifactorielle. Connus dans le secteur de la scurit sous les noms de Scattered Spider, Muddled Libra et UNC3944, ces pirates ont t propulss sous les feux de la rampe au dbut du mois aprs avoir cibl MGM et Caesars.
Le mois de septembre 2023 a tourn la catastrophe pour les groupes amricains de casinos et d’htels MGM Resorts et Caesars aprs qu’ils ont t frapps par des cyberattaques dvastatrices. Dans le cas de MGM Resorts, l’attaque a sem la panique, les machines sous et les cartes-cls de milliers de chambres d’htel ont cess de fonctionner et les transferts lectroniques de gains ont ralenti. Ce chaos a entran la fermeture temporaire des tablissements (casinos et htels) de MGM travers les tats-Unis. En outre, une valuation prliminaire des dgts indique que MGM a perdu jusqu’ 8,4 millions de dollars par jour pendant cette brve fermeture.
Does Scattered Spider seem to be everywhere? The scope of their intrusions since March 2022 from a @CrowdStrike perspective is pretty broad. They use social engineering, living off the land, and RMM tools before deploying ransomware or conducting extortion. pic.twitter.com/fP3Z1Mj0mW
— adam_cyber (@Adam_Cyber) September 15, 2023
De son ct, Caesars a dclar dans un avis 8-K dpos auprs des rgulateurs fdraux que des pirates avaient vol une copie de la base de donnes du programme de fidlit de l’entreprise, qui comprend les numros de permis de conduire et les numros de scurit sociale d’un nombre important de membres. Caesars a dclar que d’autres donnes avaient t voles lors de la cyberattaque, mais n’a pas prcis quoi. On ne sait pas combien de personnes ont t touches par lincident. Cela dit, la rumeur indique que Caesars a pay des dizaines de millions de dollars aux pirates pour quils suppriment les donnes voles et ne les rendent pas publiques.
Selon les experts en cyberscurit, ces pirates ont attaqu une multitude d’entreprises dans le monde au cours des deux dernires annes. Il s’agirait surtout de jeunes de 17 22 ans, majoritairement originaires de pays occidentaux, ayant l’anglais comme langue maternelle et ils seraient trs aguerris en matire de manipulation. Avant une attaque, ils acquirent des informations sur les employs de la cible, dont des mots de passe, par ingnierie sociale. Ils peuvent appeler le service d’assistance informatique de l’entreprise en se faisant passer pour un employ et cherchent obtenir des informations de connexion en prtendant avoir perdu les leurs.
Ils disposent de toutes les informations ncessaires sur les employs pour paratre convaincants. Une fois l’accs obtenu, ils se frayent rapidement un chemin dans les rpertoires les plus sensibles de l’entreprise pour exfiltrer des donnes des fins d’extorsion. Selon les analystes, ces acteurs de la menace feraient galement l’effort d’tudier le fonctionnement des grandes organisations, y compris leurs fournisseurs et leurs sous-traitants, pour trouver des personnes disposant d’un accs privilgi qu’ils peuvent cibler. D’aprs Palo Alto Networks, ces efforts confrent aux pirates une capacit « exceptionnelle » contourner l’authentification multifactorielle.
Par exemple, David Bradbury, responsable de la scurit de la socit de gestion des identits et des accs (IAM) Okta, a constat le mois dernier que plusieurs clients d’Okta, dont MGM, avaient t victimes d’une intrusion de Scattered Spider. Okta fournit des services de gestion de lidentit tels que l’authentification multifactorielle utilise pour aider les utilisateurs accder en toute scurit aux applications en ligne. Les acteurs de la menace ont clairement suivi les cours que nous proposons en ligne, ils ont clairement tudi notre produit et son fonctionnement. Ce sont des choses que nous n’avons jamais vues auparavant , a dclar Bradbury.
Si le gain financier reste l’une des principales motivations des cybercriminels, les experts affirment que ces pirates d’un autre genre semblent tre anims par un dsir supplmentaire de reconnaissance et d’influence au sein de la communaut des pirates clandestins. Ainsi, leurs attaques audacieuses contre des cibles de premier plan telles que MGM et Caesars leur permettent non seulement de s’enrichir, mais aussi d’asseoir leur rputation de pirates redoutables. Ils sont excellents dans ce qu’ils font et impitoyables dans leurs interactions avec les victimes , a dclar Kevin Mandia, fondateur de la socit de cyberscurit Mandiant, une filiale de Google.
Wendi Whitmore, vice-prsidente principale de l’quipe de renseignement sur les menaces de l’unit 42 de Palo Alto Networks, a compar Scattered Spider « Lapsus$ », un autre groupe l’origine de piratages antrieurs d’Okta et du gant de la technologie Microsoft. L’anne dernire, la police britannique a arrt sept personnes ges de 16 21 ans la suite de ces deux piratages. Du Canada au Japon, la socit de cyberscurit CrowdStrike a recens 52 attaques menes par le groupe depuis mars 2022. Selon Adam Meyers, premier vice-prsident charg de la veille sur les menaces au sein de CrowdStrike, la plupart des attaques ont eu lieu aux tats-Unis.
Mandiant a enregistr plus de 100 intrusions de la part de ce groupe au cours des deux dernires annes. Selon les experts, la vitesse laquelle ils pntrent dans les systmes des cibles et volent les donnes peut submerger les quipes d’intervention en matire de scurit. Dans certains cas, les pirates auraient laiss des notes menaantes l’intention du personnel des organisations victimes sur leurs systmes, et les ont contactes par texto et par courriel. Je ne pense mme pas que ces intrusions soient lies l’argent. Je pense qu’il s’agit de pouvoir, d’influence et de notorit. Il est donc plus difficile d’y rpondre , a dclar Mandia.
En somme, pour les experts, la monte en puissance des hackers de la gnration Z est le signe d’un changement inquitant dans le monde de la cybercriminalit. Leur combinaison de prouesses technologiques, de finesse en matire d’ingnierie sociale et de qute incessante de notorit les distingue de leurs prdcesseurs. Alors que les organisations continuent de renforcer leurs dfenses en matire de cyberscurit, il est essentiel de reconnatre que la lutte contre les cybercriminels ne repose pas uniquement sur la technologie, mais aussi sur la comprhension de la psychologie et des tactiques employes par ces menaces mergentes.
Ce faisant, les entreprises et les experts en scurit peuvent mieux se prparer aux dfis en constante volution poss par les pirates de la gnration Z et protger leurs actifs numriques contre les forces implacables du cybermonde.
Source : Mandiant
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du profil de ces pirates de la gnration Z ?
En quoi reprsentent-ils une menace plus srieuse que les autres pirates ?
Que pensez-vous des techniques d’attaque utilises par ces nouveaux pirates ?
Comment les organisations peuvent-elles se protger contre cette nouvelle forme de menace ?
Voir aussi