Note aux membres : l’auteur de menace à la cybersécurité Scattered Spider attaque le secteur du détail
23 juin, 2025Aperçu de la menace que représente UNC3944
- UNC3944, aussi connu sous le nom de Scattered Spider, est un auteur de menace dont les motivations sont financières.
- A d’abord visé les télécommunications dans le cadre d’activités d’échange de cartes SIM. Se concentre maintenant sur les rançongiciels et le vol de données.
- Les secteurs ciblés comprennent les services financiers et les services alimentaires, mais on assiste à une recrudescence des attaques contre des COMMERCES DE DÉTAIL aux États-Unis et au Royaume-Uni.
Se fondant sur de récents rapports publics et sur des enquêtes internes de Mandiant (en anglais), le Google Threat Intelligence Group (GTIG) a constaté une recrudescence des attaques de UNC3944 contre des détaillants aux États-Unis et au Royaume-Uni, entre autres cibles. Bien que ces activités se soient principalement concentrées aux États-Unis et au Royaume-Uni, UNC3944 a déjà ciblé des organisations canadiennes, ce qui indique que les entreprises de détail canadiennes demeurent à risque. Il est plausible que les auteurs de menace, y compris UNC3944, considèrent les entreprises de détail comme des cibles intéressantes, car elles possèdent en général d’importantes quantités de renseignements permettant d’identifier une personne (PII) et de données financières.
Le présent avis, préparé avec l’aide de Mandiant, donne un aperçu des méthodes et des outils utilisés par UNC3944. Il comporte aussi un lien menant aux recommandations faites par le CCCD et Mandiant pour se défendre contre cet auteur de menace ainsi que des liens vers des ressources et des coordonnées du gouvernement canadien.
Atteintes connues à des entreprises du secteur du détail par Scattered Spider
| Company | Country | Date | Impact |
|---|---|---|---|
| MGM Resorts | É.-U. | Sept. 2023 | Ensemble des systèmes de TI mis hors ligne ; pertes estimées à + 100 M$ |
| Caesars Entertainment | É.-U. | Sept. 2023 | Versement d’une rançon d’environ 15 M$ ; exfiltration des données sur la fidélisation des clients |
| Marks & Spencer (M&S) | R.-U. | Avril 2025 | Systèmes mis hors service ; près de 9,4 millions de dossiers clients compromis ; pertes de 300 M£ (554 M$) |
| Co-op Group | R.-U. | Avril 2025 | Perturbation des opérations informatiques et logistiques ; méfait attribué à Scattered Spider |
| Harrods | R.-U. | Avril 2025 | Activités en ligne et en magasin compromises |
Remarque : Bien qu’aucune atteinte contre le secteur du détail canadien n’ait encore été attribuée à Scattered Spider, les techniques et les modes de ciblage de l’auteur de menace suggèrent fortement que les détaillants canadiens sont des cibles réalistes.
Évaluation de la menace : quelle est l’importance du risque ?
- Fortes capacités : Utilisation d’outils légitimes (tactiques de type « exploitation des ressources locales » – ou Living off the Land en anglais), exploits de plateformes d’identité (Okta, Active Directory).
- Accès persistant : Connu pour maintenir durant des semaines un accès privilégié et étendu à divers réseaux sans être détecté.
- Déploiement de rançongiciels : Utilisation d’ALPHV/BlackCat – et de variantes plus récentes comme DragonForce – ayant paralysé de grandes organisations.
- Ciblage intersectoriel : Tout en se concentrant sur les secteurs de l’hébergement et du détail, ils ont également piraté des entités des domaines de la finance et des télécommunications.
Gravité : élevée
Probabilité d’attaques contre des détaillants canadiens : très probable (selon les tactiques, l’expansion régionale et l’orientation sectorielle)
Moyens dont disposent les détaillants pour lutter contre UNC3944
Veuillez consulter cette page d’information pour des recommandations
- Gestion des identités et de l’accès (IAM)
- Renforcement de l’authentification
- Renforcement de la gestion des accès privilégiés
- Limitation des mouvements latéraux
- Sécurité des points terminaux
- Examen des journaux d’authentification
- Confirmation de l’installation et du fonctionnement de l’agent de détection et de réponse des terminaux (EDR) de votre entreprise
- Et plus
- Sécurité de réseau
- Restriction des communications sortantes de tous les serveurs
- Interruption de tout trafic sortant vers des domaines malveillants
- Mise en œuvre de processus d’authentification renforcés et plus
- Surveillance et détection
- Recherche de tout document et de tout tableau pouvant contenir des justificatifs d’identité partagés
- Mise en œuvre de contrôles pour repérer les événements liés à des enregistrements suspects ou à l’ajout de nouveaux dispositifs ou méthodes d’AMF, comme l’association à plusieurs utilisateursdu même dispositif d’AMF, de la même méthode d’AMF ou du même numéro de téléphone d’AMF
- Et plus
- Sensibilisation au piratage psychologique
- Formation du personnel d’assistance et de tous les employés afin qu’ils puissent reconnaître et signaler toute activité ou tentative suspecte.
- Liens vers des ressources importantes destinées aux membres
Remarques finales pour les détaillants canadiens
- Le secteur du détail est une cible de plus en plus importante et tentante pour les auteurs de menace hautement qualifiés comme Scattered Spider.
- Les entreprises canadiennes ne doivent pas se demander si elles seront ciblées, mais quand elles le seront.
- Une préparation coordonnée impliquant à la fois des équipes internes et des partenaires gouvernementaux externes est essentielle pour assurer la résilience.
Demeurez à l’affût, plus de détails suivront lors des prochaines séances d’information du CCCD. Un merci tout spécial à Mandiant pour son aide au cours de la préparation du document d’information et des recommandations.
Pour en savoir plus, veuillez communiquer avec :
