Entre janvier et mai, un groupe de cybercriminels a mené une campagne de vol de données et d’extorsion ciblant des dizaines d’organisations, principalement des cabinets d’avocats et des services financiers aux États-Unis.
Connu sous plusieurs noms comme UNC3753, Luna Moth, Chatty Spider ou Silent Ransom Group, ce groupe a ajouté une méthode à son arsenal : l’infiltration physique des locaux de ses victimes pour compléter ses attaques à distance.
Comment le groupe procède-t-il à distance ?
Initialement, la tactique principale du groupe repose sur le vishing (phishing vocal). Les attaquants contactent des employés par téléphone en se faisant passer pour le support informatique interne ou une équipe de sécurité.
Ils créent un prétexte crédible, comme la résolution d’un problème de sécurité ou une aide pour une migration de données d’entreprise. Une fois la confiance établie, ils persuadent la cible de rejoindre une session de partage d’écran en utilisant des outils légitimes tels que Zoom ou Microsoft Teams.
Ces techniques d’ingénierie sociale leur permettent de contourner les défenses automatisées et de guider la victime pour qu’elle exécute des commandes ou télécharge des logiciels de contrôle à distance plus persistants.
Une tactique d’infiltration physique
Lorsque les tentatives à distance échouent, le cybergang passe à l’étape supérieure. Selon le FBI (PDF) et Google (Mandiant), le groupe envoie alors de faux techniciens informatiques directement dans les bureaux des entreprises ciblées, une escalade significative de leurs méthodes.
Ces imposteurs prétendent devoir effectuer une sauvegarde locale ou » imager un appareil » pour des raisons de sécurité. Une fois qu’ils ont un accès physique à l’ordinateur, ils utilisent simplement des clés USB pour copier et exfiltrer les données sensibles, contournant ainsi les défenses traditionnelles.
Réagir face à une menace hybride
La vitesse d’exécution est notable. Mandiant rapporte que dans de nombreux cas, » l’ensemble de la séquence d’attaque, du contact initial à l’extorsion, s’est produit en une seule journée de travail « .
Les entreprises doivent adopter une posture de sécurité unifiée. Il ne suffit pas de se concentrer sur les pare-feux et les antivirus, il faut mettre en œuvre des contrôles d’accès physiques stricts, incluant la vérification de l’identité des visiteurs et l’escorte de tout personnel technique externe dans les locaux.