Le groupe de piratage, qui a pénétré la défense en ligne du détaillant britannique Mark and Spencer, a passé plusieurs mois cette année sur un piège numérique conçu pour inciter les employés des plus grandes marques mondiales pour abandonner leurs mots de passe.
Les araignées dispersées, décrites par des experts en cybersécurité comme des escrocs de langue anglophone, ont été observées pour enregistrer leurs sites Web sous le même nom de l’entreprise et aiguiser leurs kits d’outils de logiciels malveillants.
Mais leur déménagement de signature est d’enquêter de manière approfondie, de les faire réussir par téléphone et de remettre les informations dont ils ont besoin pour inciter à d’autres collègues à déclencher une cyberattaque.
Le mélange de pièges en ligne et de Hooges souterrains réels a conduit à certains des hacks les plus célèbres de ces dernières années, y compris l’attaque de 2023 contre les casinos et les stations MGM à Las Vegas, fermant les hôtels le long du célèbre strip de la ville.
Ils ont percé avec M&S le mois dernier, plongeant les détaillants britanniques en crise après avoir atteint jusqu’à 300 millions de livres sterling de bénéfices d’exploitation, anéantissant plus de 600 millions de livres sterling de leur capitalisation boursière.
Ce n’est pas seulement de l’argent. Ceux qui ont étudié les araignées dispersées ont déclaré que leurs membres étaient également intéressés par un autre avantage: se vanter des droits.
« Ils ne sont pas seulement motivés financièrement. Ils aiment l’influence et l’attention des médias grand public », a déclaré Charles Carmakal, directeur de la technologie chez Mandiant Consulting.
Les pirates sont les leaders de l’industrie en plein essor et des «ransomwares» criminelle. Rien qu’en 2023, les victimes ont payé au moins 1 milliard de dollars aux gangs qui avaient une rançon pour les données, selon Chainalysis, une société de recherche blockchain.
Les pirates se sont spécialisés parce que les tactiques ont mûri ces dernières années. Les araignées dispersées se concentrent sur l’infraction initiale. Certains vendent des kits de logiciels qui cryptent des données importantes. D’autres se concentrent sur la demande d’une rançon qui est souvent entraînée au cours des mois, jouant contre les négociateurs chevronnés des assureurs. Même si les paiements deviennent plus grands, chaque groupe ne reçoit que des tranches.
Recommandé
L’araignée dispersée a quitté son emploi à négocier le salaire avec un autre gang de ransomwares connu sous le nom de Dragon Force. Une fois que M&S paie, Dragon Force déverrouille ou supprime les propres données de l’entreprise, a déclaré un représentant de pirate au Times financiers. Jusqu’à présent, il n’y a aucune indication que M&S est tombé dans un e-mail effrayant.
M&S, qui a travaillé avec les forces de l’ordre et les agences gouvernementales, a déclaré qu’elle n’était « pas disponible pour conclure des détails ou des spéculations sur l’incident et n’a pas été conseillé ».
Les araignées dispersées se sont rapidement déplacées. Zach Edwards, chercheur à menace au Virginia Cyber Intelligence Group Silent Push, qui a vu la préparation en ligne des pirates, a déclaré qu’il avait tenté d’avertir de nombreuses autres cibles potentielles au cours des derniers mois.
Ils incluent l’horloger Audemars Piguet, le métier Tinder, la maison de couture Louis Vuitton, les éditeurs Forbes et News Inc., et le fabricant de sandwich Chick Phil A. Il n’y a aucune preuve que les pirates ont réussi à baiser les cyber-défenses de ces sociétés. Personne n’a répondu à une demande de commentaires.
Cependant, peu de temps après Pâques, le téléphone a commencé à sonner aux bureaux d’aide des détaillants américains. Selon plusieurs experts en cybersécurité ont appelé pour fermer la fuite, le téléphone provenait probablement de hackers araignées dispersés se faisant passer pour des employés.
« Ils nous disent qu’ils ont affaire à des attaques agressives », a déclaré Carmakal, Mandiant appartenant à Google, qui a commencé à recevoir des appels SOS:
M&S n’a pas encore révélé exactement comment le système a été compromis, mais Dynarisk, basé à Londres, a déclaré qu’il suivrait la menace en ligne, mais a déclaré que les informations d’identification compromises des principaux détaillants étaient échangées contre de l’argent sur des forums en ligne.
Les araignées dispersées sont surtout connues pour apprendre une astuce appelée «ingénierie sociale». Là, vous passez les employés de service aux assises qui étudient les traces en ligne laissées par des employés de niveau intermédiaire de grandes entreprises.
« Ils peuvent connaître leur nom de jeune fille, leur adresse personnelle, car ils sont probablement ciblés, car ils ciblent probablement les développeurs seniors. Ils ont peut-être déjà acheté à quelqu’un un profil de courtier de données », a déclaré Edwards de Silent Push.
Lors des attaques précédentes, les pirates ont usurpé l’identité des travailleurs informatiques. En effet, les comptes ont le privilège de déplacer rapidement l’infrastructure technologique de l’entreprise. Lorsque l’araignée dispersée a violé MGM, l’un des anciens mots de passe de l’employé était une variation du nom de son chat, selon un ensemble de données vendu en ligne et vu à Ft.
« Bonjour, j’ai l’air d’être exclu de mon e-mail – allez-vous m’aider maintenant ou devrais-je appeler pendant les heures de travail? » L’homme avec un accent américain est entendu dans un enregistrement envoyé au FT par des télégrammes par quelqu’un qui prétend avoir été embauché pour faire une voix pour les araignées dispersées.
Recommandé
Cette personne a dit qu’il avait été payé en quelques minutes de crypto-monnaie Ethereum, mais la tranche finale n’est jamais arrivée. Se plaignant de l’absence de paiement complet sur une chaîne télégramme raciste remplie de membres, la personne a déclaré qu’il avait reçu une connexion au numéro de voix de Google.
La personne a supprimé le compte télégramme lorsqu’on lui a demandé de prouver plus de preuve d’implication dans les araignées dispersées du Ft. Cependant, il est logique pour les pirates d’embaucher quelqu’un pour suivre le script, car les poursuites sont plus faciles si les pirates ont leur voix sur la bande.
Selon un membre impliqué dans le hack MGM qui a parlé à FT en 2023, les pirates semblent protéger leurs identités les uns des autres, se protéger les uns les autres et s’appeler les uns et les autres de Spider1, Spider2, etc. par la communication interne.
Cela n’a pas empêché les forces de l’ordre de suivre au moins quelques personnes. Contrairement aux gangs de piratage opérant en Biélorussie ou en Russie, en dehors du FBI ou de la gamme Europole, les « araignées » anglophones ont tendance à vivre en Occident.
Une série d’arrestations en Espagne l’année dernière a amené les États-Unis et le Royaume-Uni à perturber temporairement le groupe. Après une pause, les araignées dispersées semblent revenir et profiter des projecteurs. Crowdsstrike, une entreprise de cybersécurité spécialisée dans leurs recherches, vend des chiffres d’action de groupes de piratage.
Avant de supprimer votre compte, quiconque est destiné à travailler avec des pirates, a déclaré qu’il ne s’agit que de « GR8 Rides à l’aide de SP1der » et qu’il s’agit d’ajouter une phrase commune parmi les personnes sur le canal Telegram.
Rapports supplémentaires de Laura Onita et Kieran Smith
