Une nouvelle génération de pirates informatiques "très jeunes" serait actuellement à l'œuvre dans le monde. Ces pirates appartenant à la génération Z cibleraient tous les secteurs sans exception, des télécommunications à la finance, en passant par l'hôtellerie et les médias. Ils agiraient de manière inhabituelle pour les cybercriminels et seraient "extraordinairement doués" pour l'ingénierie sociale et le contournement de l'authentification multifactorielle. Connus dans le secteur de la sécurité sous les noms de Scattered Spider, Muddled Libra et UNC3944, ces pirates ont été propulsés sous les feux de la rampe au début du mois après avoir ciblé MGM et Caesars.
Le mois de septembre 2023 a tourné à la catastrophe pour les groupes américains de casinos et d'hôtels MGM Resorts et Caesars après qu'ils ont été frappés par des cyberattaques dévastatrices. Dans le cas de MGM Resorts, l'attaque a semé la panique, les machines à sous et les cartes-clés de milliers de chambres d'hôtel ont cessé de fonctionner et les transferts électroniques de gains ont ralenti. Ce chaos a entraîné la fermeture temporaire des établissements (casinos et hôtels) de MGM à travers les États-Unis. En outre, une évaluation préliminaire des dégâts indique que MGM a perdu jusqu'à 8,4 millions de dollars par jour pendant cette brève fermeture.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Does Scattered Spider seem to be everywhere? The scope of their intrusions since March 2022 from a <a href="https://twitter.com/CrowdStrike?ref_src=twsrc%5Etfw">@CrowdStrike</a> perspective is pretty broad. They use social engineering, living off the land, and RMM tools before deploying ransomware or conducting extortion. <a href="https://t.co/fP3Z1Mj0mW">pic.twitter.com/fP3Z1Mj0mW</a></p>— adam_cyber (@Adam_Cyber) <a href="https://twitter.com/Adam_Cyber/status/1702772894709780744?ref_src=twsrc%5Etfw">September 15, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/tweet]
De son côté, Caesars a déclaré dans un avis 8-K déposé auprès des régulateurs fédéraux que des pirates avaient volé une copie de la base de données du programme de fidélité de l'entreprise, qui comprend les numéros de permis de conduire et les numéros de sécurité sociale d'un nombre important de membres. Caesars a déclaré que d'autres données avaient été volées lors de la cyberattaque, mais n'a pas précisé quoi. On ne sait pas combien de personnes ont été touchées par l’incident. Cela dit, la rumeur indique que Caesars a payé des dizaines de millions de dollars aux pirates pour qu’ils suppriment les données volées et ne les rendent pas publiques.
Selon les experts en cybersécurité, ces pirates ont attaqué une multitude d'entreprises dans le monde au cours des deux dernières années. Il s'agirait surtout de jeunes de 17 à 22 ans, majoritairement originaires de pays occidentaux, ayant l'anglais comme langue maternelle et ils seraient très aguerris en matière de manipulation. Avant une attaque, ils acquièrent des informations sur les employés de la cible, dont des mots de passe, par ingénierie sociale. Ils peuvent appeler le service d'assistance informatique de l'entreprise en se faisant passer pour un employé et cherchent à obtenir des informations de connexion en prétendant avoir perdu les leurs.
Ils disposent de toutes les informations nécessaires sur les employés pour paraître convaincants. Une fois l'accès obtenu, ils se frayent rapidement un chemin dans les répertoires les plus sensibles de l'entreprise pour exfiltrer des données à des fins d'extorsion. Selon les analystes, ces acteurs de la menace feraient également l'effort d'étudier le fonctionnement des grandes organisations, y compris leurs fournisseurs et leurs sous-traitants, pour trouver des personnes disposant d'un accès privilégié qu'ils peuvent cibler. D'après Palo Alto Networks, ces efforts confèrent aux pirates une capacité "exceptionnelle" à contourner l'authentification multifactorielle.
Par exemple, David Bradbury, responsable de la sécurité de la société de gestion des identités et des accès (IAM) Okta, a constaté le mois dernier que plusieurs clients d'Okta, dont MGM, avaient été victimes d'une intrusion de Scattered Spider. Okta fournit des services de gestion de l’identité tels que l'authentification multifactorielle utilisée pour aider les utilisateurs à accéder en toute sécurité aux applications en ligne. « Les acteurs de la menace ont clairement suivi les cours que nous proposons en ligne, ils ont clairement étudié notre produit et son fonctionnement. Ce sont des choses que nous n'avons jamais vues auparavant », a déclaré Bradbury.
Si le gain financier reste l'une des principales motivations des cybercriminels, les experts affirment que ces pirates d'un autre genre semblent être animés par un désir supplémentaire de reconnaissance et d'influence au sein de la communauté des pirates clandestins. Ainsi, leurs attaques audacieuses contre des cibles de premier plan telles que MGM et Caesars leur permettent non seulement de s'enrichir, mais aussi d'asseoir leur réputation de pirates redoutables. « Ils sont excellents dans ce qu'ils font et impitoyables dans leurs interactions avec les victimes », a déclaré Kevin Mandia, fondateur de la société de cybersécurité Mandiant, une filiale de Google.
Wendi Whitmore, vice-présidente principale de l'équipe de renseignement sur les menaces de l'unité 42 de Palo Alto Networks, a comparé Scattered Spider à "Lapsus$", un autre groupe à l'origine de piratages antérieurs d'Okta et du géant de la technologie Microsoft. L'année dernière, la police britannique a arrêté sept personnes âgées de 16 à 21 ans à la suite de ces deux piratages. Du Canada au Japon, la société de cybersécurité CrowdStrike a recensé 52 attaques menées par le groupe depuis mars 2022. Selon Adam Meyers, premier vice-président chargé de la veille sur les menaces au sein de CrowdStrike, la plupart des attaques ont eu lieu aux États-Unis.
Mandiant a enregistré plus de 100 intrusions de la part de ce groupe au cours des deux dernières années. Selon les experts, la vitesse à laquelle ils pénètrent dans les systèmes des cibles et volent les données peut submerger les équipes d'intervention en matière de sécurité. Dans certains cas, les pirates auraient laissé des notes menaçantes à l'intention du personnel des organisations victimes sur leurs systèmes, et les ont contactées par texto et par courriel. « Je ne pense même pas que ces intrusions soient liées à l'argent. Je pense qu'il s'agit de pouvoir, d'influence et de notoriété. Il est donc plus difficile d'y répondre », a déclaré Mandia.
En somme, pour les experts, la montée en puissance des hackers de la génération Z est le signe d'un changement inquiétant dans le monde de la cybercriminalité. Leur combinaison de prouesses technologiques, de finesse en matière d'ingénierie sociale et de quête incessante de notoriété les distingue de leurs prédécesseurs. Alors que les organisations continuent de renforcer leurs défenses en matière de cybersécurité, il est essentiel de reconnaître que la lutte contre les cybercriminels ne repose pas uniquement sur la technologie, mais aussi sur la compréhension de la psychologie et des tactiques employées par ces menaces émergentes.
Ce faisant, les entreprises et les experts en sécurité peuvent mieux se préparer aux défis en constante évolution posés par les pirates de la génération Z et protéger leurs actifs numériques contre les forces implacables du cybermonde.
Source : Mandiant
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du profil de ces pirates de la génération Z ?
En quoi représentent-ils une menace plus sérieuse que les autres pirates ?
Que pensez-vous des techniques d'attaque utilisées par ces nouveaux pirates ?
Comment les organisations peuvent-elles se protéger contre cette nouvelle forme de menace ?
Voir aussi
Caesars cède au chantage et paie des millions de dollars aux hackers pour les empêcher de divulguer ses données, c'est le deuxième grand groupe de casinos de Las Vegas à être piraté en septembre
Un simple appel téléphonique au service d'assistance serait à l'origine du piratage de l'exploitant de casinos MGM, mettant hors service les machines à sous et les cartes-clés des chambres d'hôtel
MGM Resorts est de nouveau en ligne après une énorme cyberattaque, l'attaque pourrait avoir coûté 80 millions de dollars à l'exploitant du casino de Vegas