Les récentes campagnes de Scattered Spider montrent les risques posés par l’ingénierie sociale. Actif depuis au moins fin 2021 et toujours opérationnel malgré l’arrestation de plusieurs de ses membres présumés, ce groupe a fait de l’ingénierie sociale sa spécialité. Il est connu pour adopter un large arsenal de techniques lui permettant de maximiser ses chances de succès et de s’adapter aux caractéristiques de ses cibles. Ses méthodes couvrent plusieurs vecteurs et ont évolué au fil du développement du groupe, depuis le SIM swapping, le phishing et le smishing jusqu’à la compromission de services SSO et de l’authentification multifacteur.
Une fois franchi le périmètre de défense de l’entreprise, qui peut également comprendre des applications SaaS, les cybercriminels poursuivent leur intrusion dans le réseau ciblé où ils s’efforcent d’établir une présence durable en installant différents outils légitimes qui ne déclenchent pas d’alertes de sécurité. Privilégiant initialement le SIM swapping, Scattered Spider s’est progressivement orienté vers les ransomwares à partir de la mi-2023, en s’associant à plusieurs opérations de ransomware SaaS telles que ALPHV/BlackCat, qui a été déployé lors de l’attaque contre MGM, et DragonForce, utilisé lors d’opérations menées au Royaume-Uni.
Les risques émanent également de la supply chain
Les campagnes lancées récemment par le groupe démontrent également que le risque d’ingénierie sociale pour les entreprises s’étend également à leur supply chain. Le niveau de sécurité global d’un système dépend de son maillon le plus faible. Les acteurs malveillants peuvent donc choisir d’exploiter un élément plus fragile de l’écosystème des partenaires ou de leur chaîne d’approvisionnement plutôt que d’attaquer directement leur véritable cible, si celle-ci est susceptible de disposer de systèmes de sécurité plus robustes.Par exemple, lors de leurs campagnes menées contre des commerçants britanniques, les cybercriminels semblent avoir exploité des identifiants compromis provenant d’une société d’externalisation informatique pour parvenir à leurs fins. Cela explique pourquoi la chaîne d’approvisionnement est un point d’entrée privilégié, car compromettre une seule entreprise peut alors ouvrir un accès à diverses cibles de premier plan. Cette hypothèse a malheureusement été confirmée de manière spectaculaire en juin 2024, lorsqu’il est apparu que le groupe Scattered Spider était lié à une vaste campagne d’extorsion visant des centaines d’entreprises renommées à travers le monde. L’attaque a été menée après que les acteurs malveillants ont usurpé des identifiants pour accéder à l’infrastructure de Snowflake, compromettant ainsi en une fois plusieurs entreprises clientes de cette plateforme d’hébergement multicloud.
Réduire la menace de l’ingénierie sociale
Plusieurs contre-mesures procédurales et technologiques sont disponibles pour réduire la surface d’attaque exposée à l’ingénierie sociale. La formation joue un rôle crucial, il est donc fondamental de former les équipes d’assistance comme le reste du personnel à reconnaître les techniques courantes d’ingénierie sociale, notamment le phishing, le smishing, le vishing, ainsi que l’exploitation de la frustration des utilisateurs face aux systèmes d’authentification multifacteur (MFA).Le périmètre de défense des entreprises ne se limite plus à leurs parois physiques. Les responsables doivent donc s’assurer qu’ils sont en mesure d’analyser le trafic web et cloud afin de réduire les risques associés aux attaques par phishing, aux téléchargements de malwares ou d’applications de commande et de contrôle, et à l’exfiltration de données. L’adoption d’une architecture Security Services Edge (SSE) qui fournit un modèle de sécurité complet via le cloud peut permettre aux entreprises de protéger leurs utilisateurs depuis n’importe quel appareil et en tout lieu.
Avec ce périmètre élargi, l’adoption d’outils d’isolation des navigateurs à distance (RBI) constitue une solution pour les organisations souhaitant contrôler de manière précise les activités que les utilisateurs peuvent effectuer au sein d’une page web, en appliquant des politiques de sécurité plus strictes sur les pages problématiques (par exemple dans des domaines non classés, ou encore nouvellement enregistrés ou observés). Les politiques applicables peuvent inclure l’autorisation d’accès en mode lecture seule, l’interdiction d’envoi de tout identifiant d’entreprise et le blocage des téléchargements et des importations de données confidentielles.
Du point de vue des processus, les responsables doivent mettre en œuvre des protocoles de vérification stricts qui ne reposent pas sur des informations accessibles au public. Elles doivent également adopter un modèle d’accès zero trust afin de segmenter le réseau au niveau des applications et de s’assurer que chaque utilisateur ne peut accéder qu’aux ressources auxquelles il a droit, moyennant l’application en continu d’un contrôle de la posture de sécurité. Des outils d’analyse des anomalies de comportement des utilisateurs et des entités (UEBA) peuvent être utilisés pour identifier les utilisateurs dont les appareils ou les comptes ont été compromis. Ces solutions sont souvent intégrées à des technologies d’IA et de machine learning afin de repérer les comportements suspects, d’identifier des tendances et de prendre des mesures proactives pour empêcher toute nouvelle intrusion ou perte de données.
Tirer les leçons des attaques
La vague d’attaques commises par Scattered Spider a fait découvrir le niveau de sophistication et d’organisation des groupes de hackers, leur connaissance approfondie de leurs cibles et des individus au sein des entreprises visées, sans oublier une compétence certaine en matière d’exploitation de la confiance d’autrui. Il est primordial de tirer les leçons de ces incidents afin d’aider les équipes à constituer une première ligne de défense résiliente, mais aussi leur fournir des technologies et des outils robustes aptes à identifier et à bloquer ces attaques. C’est à cette seule condition que les organisations seront à même de mieux résister aux assauts des hackers et de reprendre plus rapidement le cours normal des activités en cas d’intrusion.Par Paolo Passeri, Cyber Intelligence Principal chez Netskope
