Cinq membres présumés de la tristement célèbre équipe de cybercriminalité Scattered Spider ont été inculpé aux États-Unis pour avoir ciblé des employés d’entreprises à travers le pays en utilisant des techniques d’ingénierie sociale pour récolter des informations d’identification et les utiliser pour obtenir un accès non autorisé à des données sensibles et s’introduire dans des comptes cryptographiques afin de voler des actifs numériques valant des millions de dollars.
Toutes les parties accusées ont été inculpées d’un chef de complot en vue de commettre une fraude électronique, d’un chef de complot et d’un chef d’usurpation d’identité aggravée. Ils comprennent –
- Ahmed Hossam Eldin Elbadawy, 23 ans, alias AD, de College Station, Texas
- Noah Michael Urban, 20 ans, alias Sosa et Elijah, de Palm Coast, Floride
- Evans Onyeaka Osiebo, 20 ans, de Dallas, Texas
- Joel Martin Evans, 25 ans, alias Joeleoli, de Jacksonville, Caroline du Nord ; et
- Tyler Robert Buchanan, 22 ans, alias Tylerb, du Royaume-Uni
Bien que le nom Scattered Spider ne soit pas mentionné dans les documents judiciaires, il a été décrit comme « un groupe cybercriminel vaguement organisé et motivé par l’argent dont les membres ciblent principalement les grandes entreprises et leurs fournisseurs sous-traitants en matière de télécommunications, de technologies de l’information et d’externalisation des processus commerciaux ».
Evans, selon le ministère américain de la Justice (DoJ), a été arrêté par le Federal Bureau of Investigation (FBI) le 19 novembre 2024. Il convient de noter que Buchanan a été appréhendé en Espagne en juin 2024. Un autre adolescent britannique de 17 ans a été arrêté un mois plus tard. Urban ferait également face à des accusations distinctes relatifs aux attaques par échange de carte SIM en Floride.
« Nous prétendons que ce groupe de cybercriminels a perpétré un stratagème sophistiqué visant à voler des droits de propriété intellectuelle et des informations exclusives valant des dizaines de millions de dollars et à voler des informations personnelles appartenant à des centaines de milliers de personnes », a déclaré l’avocat américain Martin Estrada.
« Comme le montre cette affaire, le phishing et le piratage sont devenus de plus en plus sophistiqués et peuvent entraîner d’énormes pertes. Si quelque chose dans le texte ou l’e-mail que vous avez reçu ou sur le site Web que vous consultez semble erroné, c’est probablement le cas. »
Des documents judiciaires allèguent que les accusés ont mené des attaques de phishing au moins entre septembre 2021 et avril 2023 en envoyant des messages SMS aux employés de l’entreprise, prétendant provenir de l’entreprise elle-même ou d’un fournisseur de technologies de l’information ou de services commerciaux sous contrat de la victime.
Les messages texte affirmaient ensuite que leurs comptes étaient sur le point d’être désactivés et qu’ils devaient cliquer sur un lien fourni pour réinitialiser leurs informations d’identification, ce qui a amené certains utilisateurs involontaires à fournir leurs informations de connexion sur de fausses pages.
Armé de ces informations d’identification, le gang a obtenu un accès illicite aux réseaux d’entreprise et a volé des données non publiques et des informations d’identification personnelle, ainsi que siphonné pas moins de 11 millions de dollars en crypto-monnaie auprès de victimes individuelles.
« Le but du stratagème de phishing ciblant les entreprises était en partie d’accéder aux outils nécessaires à l’échange de cartes SIM ainsi qu’aux informations d’identification des clients, qui pourraient ensuite être utilisées pour finalement voler des cryptomonnaies », indique la plainte.
Buchanan et ses complices auraient ciblé au moins 45 entreprises aux États-Unis et à l’étranger, notamment au Canada, en Inde et au Royaume-Uni. S’ils sont reconnus coupables, chacun des accusés basés aux États-Unis risque jusqu’à 27 ans de prison pour toutes les accusations, avec Buchanan risque également jusqu’à 20 ans de prison pour le chef de fraude électronique.
« Les accusés se seraient attaqués à des victimes sans méfiance dans ce stratagème de phishing et auraient utilisé leurs informations personnelles comme passerelle pour voler des millions sur leurs comptes de crypto-monnaie », a déclaré Akil Davis, directeur adjoint en charge du bureau extérieur du FBI à Los Angeles.
« Ces types de sollicitations frauduleuses sont omniprésents et privent les victimes américaines de leur argent durement gagné d’un simple clic de souris. »