Meet Rey, the Admin of ‘Scattered Lapsus$ Hunters’

L’Exploitation de Saif Al-Din Khader par le Groupe Cybercriminel “Scattered LAPSUS$ Hunters”

“Rey”, identifié comme Saif Al-Din Khader, un jeune opérateur technique et figure publique du groupe cybercriminel “Scattered LAPSUS$ Hunters” (SLSH), a vu son identité révélée. SLSH est une coalition présumée de groupes tels que Scattered Spider, LAPSUS$ et ShinyHunters. Ce groupe est connu pour ses campagnes d’extorsion de données à grande échelle contre de nombreuses entreprises, notamment via des attaques d’ingénierie sociale exploitant des vulnérabilités dans les plateformes comme Salesforce.

Récemment, SLSH a intensifié ses efforts en recherchant activement des “initiés” au sein de grandes entreprises pour obtenir un accès interne aux réseaux en échange d’une part des rançons. Cette initiative a coïncidé avec des révélations sur des employés de sociétés de cybersécurité partageant des informations internes avec des groupes de hackers.

Le groupe a également lancé sa propre opération de ransomware-as-a-service appelée “ShinySp1d3r”, une version modifiée du ransomware “Hellcat” utilisant des outils d’intelligence artificielle. Saif Al-Din Khader, également connu sous les pseudonymes “Hikki-Chan” et “o5tdev”, est identifié comme un administrateur clé de SLSH et était précédemment impliqué dans des opérations de forums cybercriminels comme BreachForums et des activités de groupes hacktivistes.

Les erreurs de sécurité opérationnelle de Khader, notamment l’exposition de ses identifiants et des données de son appareil compromis par un logiciel malveillant, ont permis de retracer son identité et sa localisation à Amman, en Jordanie. Les informations indiquent que son ordinateur est partagé avec des membres de sa famille portant le nom de Khader, et que son père travaille pour Royal Jordanian Airlines.

Saif Al-Din Khader affirme coopérer avec les autorités policières européennes, y compris Europol, depuis plusieurs mois et chercher à se désengager des activités de SLSH. Il a partagé des informations sur la nature de ses activités passées et actuelles, tout en exprimant son désir de “nettoyer” ses associations et de passer à autre chose, même si cela implique des conséquences judiciaires.

Points Clés :

• Groupe Cybercriminel : Scattered LAPSUS$ Hunters (SLSH), fusion de Scattered Spider, LAPSUS$ et ShinyHunters.
• Opérateur Clé : “Rey”, identifié comme Saif Al-Din Khader, un jeune individu de 15-16 ans basé en Jordanie.
• Méthodes d’Attaque : Ingénierie sociale (voice phishing), exploitation de vulnérabilités (Salesforce), extorsion de données, recrutement d’initiés.
• Nouveau Ransomware : Lancement de “ShinySp1d3r” (RaaS), une évolution du ransomware “Hellcat” utilisant l’IA.
• Implication dans des Forums et Groupes : Administrateur de BreachForums, ancien membre de groupes hacktivistes (Cyb3r Drag0nz Team), actif sur des canaux cybercriminels.
• Identification : Erreurs d’OpSec ayant conduit à la révélation de son identité, notamment via l’exposition d’identifiants et l’analyse de données volées par un infostealer.
• Coopération avec les Autorités : Khader affirme coopérer avec la loi depuis plusieurs mois.

Vulnérabilités Mentionnées :

• Ingénierie sociale via voice phishing pour obtenir la connexion à des plateformes comme Salesforce.
• Exploitation potentielle de vulnérabilités internes d’entreprises via des “initiés”.
• Compromission d’appareils par des infostealers exposant des identifiants et des données personnelles.

Recommandations :

Bien que l’article se concentre sur l’identification de l’acteur, les implications impliquent les recommandations générales suivantes pour les organisations :

• Renforcer la Sécurité des Plateformes Externes : Mettre en place des mesures de sécurité robustes pour les plateformes comme Salesforce afin de prévenir l’ingénierie sociale et l’accès non autorisé.
• Programmes de Sensibilisation à la Sécurité : Former les employés à reconnaître et signaler les tentatives de phishing et d’ingénierie sociale.
• Gestion des Accès et Surveillance Interne : Mettre en œuvre des politiques strictes de gestion des accès et surveiller les activités suspectes des employés.
• Protection des Points d’Extrémité : Utiliser des solutions de sécurité pour détecter et prévenir les infections par des logiciels malveillants, y compris les infostealers.
• Réponse aux Incidents : Avoir des plans de réponse aux incidents robustes pour gérer rapidement et efficacement les violations de données et les attaques d’extorsion.

Source