Blog Recherche sur les menaces

Scattered Spider : ce que vous devez savoir

Obtenez des informations sur un groupe de hackers de premier plan et des recommandations défensives pour sécuriser les données sensibles de votre organisation.
 

Veuillez noter que cet article a été traduit avec l'aide de l'IA et révisé par un traducteur humain.

Joseph Avanzato
3 minute de lecture
Dernière mise à jour 5 juin 2025
Scattered Spider

Contents

    Scattered Spider est le surnom donné par CrowdStrike à un groupe de cybercriminalité faiblement connecté dont les membres sont transitoires et vaguement définis. D’autres fournisseurs suivent ce groupe de hackers sous les noms de UNC3944, Storm-0875, LUCR-3 et d’autres désignations.  

    Les motivations du groupe sont généralement d’ordre financier, et il cible un large éventail de secteurs et de pays. Ses victimes se trouvent généralement dans des pays occidentaux tels que les États-Unis, le Canada, le Royaume-Uni et la Suisse, mais il est également connu pour cibler des pays d’Asie de l’Est comme la Thaïlande et des entités sud-américaines au Brésil. 

    Actif depuis 2022, Scattered Spider monétise généralement ses attaques par le biais de ransomwares et d’extorsion de vols de données, en se concentrant sur des cibles de grande envergure telles que les entreprises du Fortune 500 dans des secteurs tels que la technologie, les services financiers, le retail, l’aérospatial, et plus encore. 

    Activité récente de Scattered Spider 

    Des titres récents attribuent au groupe des attaques à grande échelle contre des cibles importantes, notamment Transport for London, Caesars, MGM Resorts, DoorDash, CloudFlare, Marks & Spencer, Harrods et Co-op.  

    Leurs attaques étant de plus en plus fréquentes, il est important de comprendre comment ils accèdent généralement à une organisation et comment ils opèrent une fois à l’intérieur d’un réseau. 

    Les objectifs du groupe ont tendance à évoluer au fil du temps . Actuellement, le retail semble être le principal secteur ciblé, mais cela pourrait changer le mois prochain. Il est important que toutes les entreprises comprennent qu’elles peuvent devenir victime de ce groupe à tout moment, en particulier les grandes organisations présentes dans le monde entier.  

    TTP courants 

    Scattered Spider a tendance à utiliser l’ingénierie sociale avancée et la tromperie pour obtenir un accès initial à une organisation, souvent par SMS (smishing) ou appels vocaux (vishing). Le groupe est également connu pour appeler des numéros d’assistance externes afin de réinitialiser les mots de passe ou les numéros MFA d’utilisateurs peu méfiants, lui permettant ainsi d’accéder aux comptes. 

    Leurs activités aboutissent généralement à des vols massifs de données et à l’utilisation de ransomware, ce qui conduit à une double extorsion des victimes, contraintes de payer à la fois pour décrypter leurs données et pour que les données volées ne soient pas divulguées. Parmi les méthodes utilisées, on peut citer : 

    • Usurpation d’identité auprès du service d’assistance : utilise l’ingénierie sociale pour convaincre les services d’assistance de réinitialiser les mots de passe et les informations d’authentification multifactorielle (MFA) des administrateurs ciblés ou d’autres comptes à privilèges. 
    • « SIM swapping » pour obtenir un accès initial aux identités 
    • Double extorsion pour monétiser les fuites, en chiffrant et en menaçant de divulguer les données 
    • Compromission d’Active Directory : connu pour extraire NTDS.dit des contrôleurs de domaine ; la principale base de données contenant les informations d’identification d’Active Directory 
    • Hameçonnage d’identifiants : utilise des domaines similaires pour tromper les victimes et les inciter à communiquer leurs identifiants. Ceux-ci contiennent souvent des termes tels que okta, sso, help, corp, internal, sso, etc. 
    • Déplacement latéral : connu pour exploiter RDP, SSH, PsExec et les tâches planifiées afin de se déplacer entre les systèmes d’un réseau.
    • Persistance via les outils RMM : exploite les plateformes de surveillance et de gestion à distance comme AnyDesk pour maintenir l’accès 
    • Déploiement de ransomwares : a été observé utilisant la variante DragonForce Ransomware-as-a-Service (RaaS) pour exécuter des attaques.

    Recommandations défensives 

    Varonis Threat Labs recommande les mesures défensives suivantes pour sécuriser les données contre des menaces telles que Scattered Spider :  

    • Renforcer les protocoles du service d’assistance : mettez en œuvre des procédures de vérification d’identité pour prévenir les attaques par ingénierie sociale. 
    • Déployer une MFA résistante au phishing : utilisez la correspondance des numéros ou des jetons physiques au lieu des notifications push basiques pour tous les points d’accès à distance. 
    • Assurer la couverture des terminaux : maintenez une couverture à 100 % grâce à des outils de détection et de réponse (EDR) bien configurés et à une surveillance active des alertes. 
    • Filtrer le trafic Web : utilisez des proxys Web pour bloquer l’accès aux domaines suspects ou malveillants. 
    • Surveiller les dépôts de données critiques : utilisez des outils tels que Varonis pour détecter des tendances d’accès inhabituels pouvant indiquer une fuite en cours. 
    • Organiser des exercices de type red team : testez régulièrement les défenses contre des attaques simulées, notamment celles ciblant Active Directory. 
    • Restreindre l’accès à Internet des serveurs : appliquez des règles de refus par défaut et autorisez uniquement les domaines et adresses IP essentiels au niveau du pare-feu. 
    • Maintenir les systèmes à jour : assurez-vous que tous les systèmes d’exploitation et applications sont patchés et à jour. 
    • Conserver des sauvegardes sécurisées : stockez les sauvegardes hors ligne et testez-les régulièrement pour vous assurer qu’elles sont récupérables en cas d’attaque. 

    N’attendez pas qu’une faille de sécurité se produise.

    Scattered Spider est unique en ce sens que ses membres ne sont pas clairement définis et qu’il est difficile d’établir des liens entre eux, contrairement à d’autres cybercriminels.

    Comme toujours, les mesures défensives clés ciblent la surveillance, les sauvegardes et la mise en œuvre de procédures communes de bonnes pratiques sur l’ensemble du réseau de votre organisation.

    Si vous avez besoin d’une assistance immédiate ou si vous pensez que votre organisation a été impactée par des menaces telles que Scattered Spider, contactez notre équipe.  

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Joseph Avanzato
    Joseph Avanzato Joseph Avanzato travaille pour le groupe d’analyse forensique et d’opérations de sécurité de Varonis. Il réalise des investigations approfondies et des évaluations de la cyber-résilience pour le compte de clients Varonis. Ses domaines de prédilection et d’expertise sont l’ingénierie inverse, l’analyse de malwares, l’étude d’exploits, l’évaluation de hacks, les technologies de leurrage et le développement d’outils sur mesure pour les équipes Red et Blue. Il a travaillé dans les secteurs de la réponse aux incidents, l’analyse forensique, l’ingénierie de détection et la recherche de menaces au sein d’environnements d’entreprise complexes.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    effraction-et-réentrée :-anatomie-d'une-attaque-bec-m365-résiliente-utilisant-les-connecteurs-entrants 
    Effraction et réentrée : anatomie d'une attaque BEC M365 résiliente utilisant les connecteurs entrants 
    effraction-et-réentrée :-anatomie-d'une-attaque-bec-m365-résiliente-utilisant-les-connecteurs-entrants 
    Paul Wang
    2 juin 2025
    Varonis a découvert une attaque BEC exploitant les outils d'administration de Microsoft 365, révélant des méthodologies avancées d'attaquants et une exploitation des privilèges administratifs.
    rusty-pearl :-exécution-de-code-à-distance-dans-les-instances-postgres. 
    Rusty Pearl : exécution de code à distance dans les instances Postgres. 
    rusty-pearl :-exécution-de-code-à-distance-dans-les-instances-postgres. 
    Tal Peleg
    2 juin 2025
    Varonis découvre une vulnérabilité RCE dans PostgreSQL via PL/Perl et PL/Rust. Découvrez comment AWS RDS a réagi et comment sécuriser votre environnement Postgres.
    ransomhub-–-ce-que-vous-devez-savoir-sur-cette-menace-qui-se-répand-rapidement 
    RansomHub – Ce que vous devez savoir sur cette menace qui se répand rapidement 
    ransomhub-–-ce-que-vous-devez-savoir-sur-cette-menace-qui-se-répand-rapidement 
    Joseph Avanzato
    22 avril 2025
    RansomHub, le célèbre groupe de ransomware, a touché plus de 200 victimes dans des secteurs tels que l’informatique, la santé, la finance, etc.