La toile des cybercriminels Scattered Spider, et comment ne pas tomber dedans

Les compagnies Qantas, Hawaiian Airlines et WestJet ont toutes révélé avoir subi des cyberincidents le mois dernier. Qantas a indiqué que jusqu’à six millions de clients avaient été touchés, bien que la sécurité d’aucune donnée relative aux passeports ou aux paiements n’ait été compromise. Hawaiian Airlines a révélé que ses services avaient subi des perturbations à la suite d’attaques par rançongiciels, tandis que WestJet a admis une attaque début juin qui a affecté les services sur les appareils mobiles et en ligne.

Dans tous les cas, les opérations aériennes n’ont pas été touchées, mais le message est clair : les compagnies aériennes sont visées.

Le FBI a lancé le 28 juin un avertissement selon lequel le groupe de cybercriminels connu sous le nom de Scattered Spider s’en prenait activement au secteur du transport aérien. Ce groupe, composé principalement de jeunes adultes anglophones des États-Unis et du Royaume-Uni, est connu pour ses tactiques d’ingénierie sociale et sa collaboration avec des organisations criminelles proposant des rançongiciels en tant que service.

Qui est le groupe Scattered Spider?

Scattered Spider, également connu sous les noms de UNC3944, Starfraud ou Muddled Libra, est un collectif décentralisé de cybercriminels qui s’est fait connaître par des attaques de grande envergure dans divers secteurs. 

Ces adolescents tenaces aux connaissances poussées fonctionnent moins comme un groupe criminel centralisé que comme un mouvement : ils sont vifs, collaboratifs et difficiles à cerner.

• Ingénierie sociale : Usurper l’identité d’employés ou de sous-traitants pour duper les services d’assistance informatique et les amener à accorder un accès non autorisé.

• Recourir au bombardement de demandes d’AMF et à l’échange de cartes SIM pour franchir des systèmes de défense que la plupart des gens considèrent comme sécuritaires.

• Attaques d’hameçonnage poussées : Utiliser des outils d’attaque par l’intercepteur (AITM) comme Evilginx pour pirater des sessions de connexion actives en volant des jetons d’authentification.

• Ciblage de fournisseurs tiers : Exploiter les vulnérabilités des fournisseurs informatiques tiers et des centres d’appel pour s’infiltrer dans de plus grosses organisations.

Dans leurs récentes activités, on retrouve des attaques contre de grands détaillants comme Marks & Spencer et Co-op au Royaume-Uni. Celles-ci ont causé des pertes financières considérables : certaines estimations évaluent le préjudice à plus de 600 millions de dollars. 

Pourquoi les compagnies aériennes? Pourquoi maintenant?

Le secteur du transport aérien constitue une cible attrayante pour les cybercriminels en raison de la complexité de son infrastructure numérique, de sa dépendance à l’égard de fournisseurs tiers et de la grande valeur des données sur les clients. L’orientation de Scattered Spider vers ce secteur coïncide avec la haute saison des voyages estivaux, ce qui accroît l’impact potentiel de ses attaques.

Dans le cas de Qantas Airways, la faille a été d’attaque par hameçonnage vocal, une tactique par laquelle les cybercriminels se font passer pour des employés afin de leur soutirer des données sensibles. Aucune information financière ou relative aux passeports n’a été consultée. Toutefois, parmi les données affectées par l’incident se trouvaient des noms, des dates de naissance, des courriels, des numéros de téléphone et des numéros de grands voyageurs.

Stratégies d’atténuation

Il faut miser sur une approche multiforme pour se défendre contre des groupes tels que Scattered Spider :

1. Renforcez les protocoles du service d’assistance : Mettez en œuvre des processus rigoureux de vérification de l’identité pour les demandes d’accès. Formez le personnel du service d’assistance à reconnaître et à signaler les activités suspectes.

2. Renforcez la sécurité du système d’AMF : Adoptez des méthodes d’AMF plus robustes, telles que les jetons matériels ou l’authentification biométrique, et surveillez les demandes d’AMF inhabituelles.

3. Contrôler l’accès des tiers : Examinez régulièrement la manière dont les fournisseurs externes accèdent à vos systèmes, assurez-vous qu’ils respectent des pratiques de sécurité rigoureuses et ne leur donnez que l’accès minimum dont ils ont besoin pour faire leur travail.

4. Favorisez une culture de la sécurité : Encouragez les employés à signaler les activités suspectes et aidez-les à suivre les protocoles de sécurité, même sous la pression.

Pour conclure

Le groupe Scattered Spider ne se contente pas de s’introduire dans les systèmes, il s’introduit dans les cerveaux des gens. Il tire parti du stress, de sa rapidité et des formations superficielles. C’est pourquoi les outils de sécurité qui ne s’accompagnent pas d’un état d’esprit axé sur la sécurité ne sont que des armures en carton.

Lorsque Scattered Spider frappe, ce n’est pas seulement un problème de sécurité ; c’est une crise opérationnelle. Les systèmes sont inutilisables. Les clients perdent confiance. Le personnel de première ligne se démène sans les outils dont il a besoin. Même si les avions continuent de voler, le coût du nettoyage, de l’enquête interne et du rétablissement se mesure en semaines, et en millions.

Scattered Spider a brisé l’illusion selon laquelle l’AMF seule permet de résister à l’hameçonnage. Si l’AMF permet de bloquer les attaques en force, elle n’arrêtera pas une personne malveillante motivée qui cible votre personnel et vos processus.

Ne vous contentez pas de corriger les systèmes ou d’investir dans un autre outil, transformez votre culture. Commencez par notre nouveau Rapport sur la culture de la sécurité : une feuille de route pratique pour motiver votre personnel à devenir, avec conviction et compétence, les lignes de défense de votre organisation.