Cinq hommes d’une vingtaine d’années ont été inculpés par les autorités américaines, mercredi 20 novembre. Ils sont soupçonnés d’appartenir à un sulfureux groupe de pirates surnommé Scattered Spider par les spécialistes en sécurité informatique, et ayant un but crapuleux. L’acte d’inculpation dévoilé par le département de la justice les accuse principalement de fraude bancaire et d’usurpation d’identité.
Le nom de Scattered Spider a notamment été associé au piratage des casinos MGM Resorts aux Etats-Unis, qui avait coûté près de 100 millions de dollars à l’entreprise. Le groupe ou une partie de ses membres sont aussi soupçonnés d’avoir collaboré avec BlackCat, un des plus importants gangs de rançongiciel des dernières années. Scattered Spider aurait ainsi joué le rôle d’affilié, nom donné aux complices chargés d’infiltrer le réseau d’une victime pour y déployer un logiciel malveillant paralysant les ordinateurs connectés.
Les cinq suspects désormais poursuivis par la justice américaine, Ahmed Elbadawy, Noah Urban, Evans Osiebo, Joel Evans et Tyler Buchanan, ont tous entre 20 et 25 ans. Au moins trois d’entre eux ont été interpellés au cours de plusieurs vagues d’arrestations. M. Buchanan, seul ressortissant britannique dans la liste des suspects (les quatre autres sont américains), a été arrêté en Espagne en juin, alors que Noah Urban, connu sous le pseudonyme de « Sosa », a été interpellé en janvier. Un dernier suspect, Joel Evans, a été arrêté mardi 19 novembre par les enquêteurs fédéraux en Caroline du Nord. On ignore cependant si les cinq personnes inculpées représentent la totalité du groupe.
Phishing, « SIM swapping » et vols de fonds
Depuis 2022, les entreprises de sécurité informatique suivent de près les activités du groupe. Une analyse de la société CrowdStrike établissait à l’époque que les pirates visaient principalement des entreprises de télécommunications et des sociétés sous-traitantes. Ils s’infiltraient en envoyant des messages d’hameçonnage (phishing) ou en usurpant l’identité d’employés au téléphone, toujours dans le but d’obtenir des identifiants permettant de mettre un premier pied dans le réseau. Le groupe solidifiait ensuite son assise, par exemple en installant des logiciels d’accès à distance sur des ordinateurs de l’entreprise.
Selon l’acte d’inculpation, Joel Evans, 25 ans, vivant à Jacksonville et connu sous le pseudonyme de joeleoli, est accusé d’avoir conçu un outil permettant d’automatiser le transfert de mots de passe volés par les campagnes d’hameçonnage du groupe. Les identifiants entrés par les victimes étaient ensuite envoyés sur un canal Telegram géré par Scattered Spider. En 2022, un rapport de l’entreprise Group IB estimait à près de 10 000 le nombre de personnes ayant vu leurs identifiants dérobés par le groupe.
Ces données récupérées, l’un des principaux objectifs de Scattered Spider est ensuite de soutirer des fonds, souvent en cryptomonnaie, à leurs victimes. Les enquêteurs estiment que les suspects sont parvenus à voler un total de plus de 11 millions de dollars à une trentaine de personnes identifiées. En 2021, les suspects auraient ainsi réussi à voler plus de six millions de dollars en cryptomonnaies à une seule victime. Pour ce faire, le groupe utilisait notamment la technique du SIM swapping, qui consiste à transférer la ligne téléphonique d’une victime pour recevoir ses SMS et appels, y compris les codes de vérification parfois envoyés pour réinitialiser un mot de passe. En 2022, des membres du groupe auraient réussi à s’introduire dans l’infrastructure de Twilio, une société spécialisée dans l’envoi de SMS et d’appels téléphoniques.
Derrière ce groupe aux contours flous pourrait se cacher une communauté plus large. Des chercheurs soupçonnent ainsi Scattered Spider d’être une émanation de The Com, un vaste réseau de pirates anglophones dont le niveau d’organisation est inconnu et qui pourrait compter, selon de récentes déclarations du FBI, près d’un millier de membres.