Après avoir échappé à la capture pendant plus de deux ans à la suite d’une série de piratages visant certaines des plus grandes entreprises technologiques du monde, les autorités américaines affirment qu’elles ont enfin réussi à attraper au moins certains des hackers responsables.

En août 2022, des chercheurs en sécurité ont rendu public un avertissement selon lequel un groupe de hackers avait ciblé plus de 130 organisations dans le cadre d’une campagne de phishing sophistiquée qui a volé les identifiants de près de 10 000 employés. Les hackers visaient spécifiquement des entreprises utilisant Okta, un fournisseur de connexion unique utilisé par des milliers d’entreprises dans le monde pour permettre à leurs employés de se connecter depuis chez eux. 

En raison de son focus sur Okta, le groupe de hackers a été appelé “0ktapus”. À ce jour, le groupe a piraté Caesars Entertainment, Coinbase, DoorDash, Mailchimp, Riot Games, Twilio (deux fois) et des dizaines d’autres. 

Le cyberattaque la plus notable des hackers, en termes de temps d’arrêt et d’impact, a été le piratage contre MGM Resorts en septembre 2023, qui aurait coûté au géant des casinos et des hôtels au moins 100 millions de dollars. Dans ce cas, les hackers ont collaboré avec le gang de ransomware de langue russe ALPHV et ont exigé une rançon de MGM pour que l’entreprise récupère ses fichiers. Le piratage a été si perturbant que les casinos appartenant à MGM ont eu du mal à fournir des services pendant plusieurs jours.

Au cours des deux dernières années, alors que les forces de l’ordre se rapprochaient des hackers, les personnes travaillant dans le domaine de la cybersécurité ont essayé de déterminer comment classer précisément les hackers et s’il fallait les regrouper dans un groupe ou un autre. 

Les techniques des hackers, telles que l’ingénierie sociale, le phishing par email et message texte, et l’échange de SIM, sont courantes et répandues. Certains des hackers individuels faisaient partie de plusieurs groupes responsables de différentes violations de données. Ces circonstances ont rendu difficile la compréhension de qui appartient à quel groupe. Le géant de la cybersécurité CrowdStrike a qualifié ce groupe de hackers de “Scattered Spider”, et les chercheurs estiment qu’il y a un certain chevauchement avec 0ktapus.

Le groupe était si actif – et réussi – que l’agence de cybersécurité américaine CISA et le FBI ont publié un avis à la fin de 2023 avec des détails sur les activités et techniques du groupe, dans le cadre d’une tentative d’aider les organisations à se préparer et à se défendre contre les attaques anticipées. 

Scattered Spider est “un groupe de cybergangs qui cible de grandes entreprises et leurs services d’assistance informatique sous contrat”, a écrit la CISA dans son avis. L’agence a averti que le groupe “s’était typiquement engagé dans le vol de données pour extorsion,” et a noté leurs liens connus avec des gangs de ransomware.

Une chose qui est relativement certaine est que les hackers parlent majoritairement anglais et sont largement considérés comme étant dans leur adolescence et au début de la vingtaine – parfois appelés “adolescents persistants avancés”.

“Il y a un nombre disproportionné de mineurs impliqués, et c’est parce que le groupe recrute délibérément des mineurs en raison de l’environnement juridique indulgent dans lequel ces mineurs évoluent et ils savent que rien ne leur arrivera si la police attrape un enfant,” a déclaré Allison Nixon, responsable de la recherche chez Unit 221B, à TechCrunch à l’époque.

Au cours des deux dernières années, certains membres de 0ktapus et Scattered Spider ont été liés à un groupe de cybercriminels également nébuleux connu sous le nom de “the Com”. Les personnes de cette communauté plus large de cybercriminalité ont commis des crimes qui ont débordé dans le monde réel. Certains d’entre eux ont été responsables d’actes violents, tels que des vols, des cambriolages et des “brickings” – embaucher des voyous pour lancer des briques sur la maison ou l’appartement de quelqu’un ; ainsi que du swatting – où quelqu’un trompe les autorités en leur faisant croire qu’un crime violent est en cours, déclenchant l’intervention de l’unité de police armée. Bien que né comme une blague, le swatting est connu pour avoir des conséquences fatales. 

Après deux ans de piratage, les autorités commencent enfin à identifier et à inculper les membres de Scattered Spider. 

En juillet, la police britannique a confirmé l’arrestation d’un adolescent de 17 ans en relation avec le piratage de MGM.

En novembre, le ministère de la Justice des États-Unis a annoncé avoir inculpé cinq hackers : Ahmed Hossam Eldin Elbadawy, 23 ans, de College Station, Texas ; Noah Michael Urban, 20 ans, de Palm Coast, Floride, qui avait été arrêté en janvier ; Evans Onyeaka Osiebo, 20 ans, de Dallas, Texas ; Joel Martin Evans, 25 ans, de Jacksonville, Caroline du Nord ; et Tyler Robert Buchanan, 22 ans, du Royaume-Uni, arrêté en juin en Espagne.