A Cybercrime Merger Like No Other — Scattered Spider, LAPSUS$, and ShinyHunters Join Forces
Mis à jour :
Union Cybercriminelle : Scattered Spider, LAPSUS$ et ShinyHunters
Trois groupes de cybercriminalité renommés, Scattered Spider, LAPSUS$ et ShinyHunters, ont uni leurs forces pour former une nouvelle entité connue sous le nom de “Scattered LAPSUS$ Hunters” (SLH). Cette alliance a lancé au moins 16 canaux Telegram depuis août 2025, les recréant à plusieurs reprises malgré la modération de la plateforme. Cette présence en ligne sert à coordonner leurs opérations, à diffuser leurs messages et à commercialiser leurs services, notamment via une offre d’extorsion en tant que service (EaaS).
Ces groupes sont affiliés à une entreprise criminelle plus large appelée “The Com”, caractérisée par une collaboration fluide et le partage de marques. Ils montrent également des liens avec d’autres groupes comme CryptoChameleon et Crimson Collective.
Points Clés et Vulnérabilités :
- Convergence des Groupes : L’union de Scattered Spider, LAPSUS$ et ShinyHunters crée une force cybercriminelle plus importante et coordonnée.
- Utilisation de Telegram : La plateforme sert de hub pour la coordination, la communication et la publicité des services criminels.
- Extorsion en tant que Service (EaaS) : SLH propose une plateforme où des affiliés peuvent utiliser leur “marque” pour mener des attaques d’extorsion.
- Attaques ciblées : Des attaques d’extorsion de données ont visé des organisations, y compris des utilisateurs de Salesforce.
- Exploitation de vulnérabilités : L’article mentionne brièvement des vulnérabilités, notamment l’utilisation de pilotes vulnérables (BYOVD) par le groupe DragonForce, qui s’aligne avec Scattered Spider. Des exemples de pilotes mentionnés incluent
truesight.sysetrentdrv2.sys(partie de BadRentdrv2). - Campagnes d’influence : SLH recrute des abonnés sur Telegram pour mener des campagnes de pression en collectant des adresses e-mail de dirigeants contre rémunération.
- Développement de Ransomware : SLH a laissé entendre le développement d’une nouvelle famille de ransomwares nommée Sh1nySp1d3r, potentiellement en concurrence avec des acteurs établis.
- Synergie avec DragonForce : DragonForce, un autre groupe de ransomware, s’est allié à LockBit et Qilin. Il utilise des vulnérabilités de pilotes pour désactiver les logiciels de sécurité et travaillerait avec Scattered Spider en tant qu’affilié pour l’accès initial. DragonForce a également utilisé du code source divulgué de Conti pour développer son propre ransomware.
- Méthodes sophistiquées : Les acteurs utilisent une combinaison d’ingénierie sociale, de développement d’exploits et de guerre narrative, démontrant une compréhension mature de la perception et de la légitimité dans l’écosystème cybercriminel.
Vulnérabilités Spécifiques (CVE) :
L’article ne mentionne pas de CVEs spécifiques associées directement à l’activité de Scattered LAPSUS$ Hunters (SLH). Cependant, l’utilisation de pilotes vulnérables (BYOVD) par des groupes affiliés comme DragonForce implique l’exploitation de vulnérabilités connues dans ces pilotes.
Recommandations :
Bien que l’article se concentre sur la description de l’activité des groupes, les implications pour la sécurité des organisations sont claires :
- Surveillance des communications : Les organisations devraient surveiller les activités sur des plateformes comme Telegram, qui sont utilisées par des groupes criminels pour coordonner leurs actions.
- Renforcement des défenses : La vigilance contre les attaques d’extorsion de données et l’utilisation de ransomwares est cruciale. Cela inclut la mise à jour régulière des systèmes, des logiciels de sécurité et la sensibilisation des employés aux techniques d’ingénierie sociale comme le phishing et le vishing.
- Gestion des accès et des pilotes : Les organisations doivent être particulièrement attentives à l’utilisation de pilotes tiers et s’assurer qu’ils ne présentent pas de vulnérabilités connues (stratégie BYOVD).
- Stratégies de réponse aux incidents : Disposer de plans de réponse aux incidents robustes est essentiel pour gérer efficacement les conséquences d’une éventuelle compromission.