Nouvelle étude Mandiant & GTIG : se défendre contre UNC3944 / Scattered Spider
Nouvelle étude Mandiant & GTIG : se défendre contre UNC3944 / Scattered Spider - Malwares
Mandiant et le Google Threat Intelligence Group (GTIG) publie de nouvelles recommandations publiées concernant la manière de se se défendre contre UNC3944 / Scattered Spider. Ces dernières visent à aider les organisations à se prémunir proactivement contre les tactiques utilisées par UNC3944, également connu sous le nom de Scattered Spider.
Les experts ont observé à propos de la victimologie de l'UNC3944 les points suivants :
• Secteurs ciblés : Le groupe cible un large éventail de secteurs, avec une attention particulière pour les technologies, les télécommunications, les services financiers, l'externalisation des processus métier (BPO), les jeux, l'hôtellerie, la vente au détail et les médias et divertissements.
• Zone géographique : les cibles sont principalement situées dans les pays anglophones, notamment aux États-Unis, au Canada, au Royaume-Uni et en Australie, mais aussi en France, et plus récemment à Singapour et en Inde.
• Taille des organisations victimes : UNC3944 cible souvent les grandes entreprises, probablement en raison de l'impact potentiel plus important et des demandes de rançon plus élevées. Le groupe vise spécifiquement les organisations disposant d'un service d'assistance important et ayant externalisé leurs services informatiques, qui sont plus vulnérables à ses techniques d'ingénierie sociale.
À noter : ni le GTIG ni Mandiant n'ont, à ce stade, confirmé ou attribué les dernières attaques de ransomware au groupe UNC3944 ou à DragonForce.
Cependant, la recrudescence des activités de UNC3944, combinée à l'augmentation du nombre de victimes dans le secteur du retail figurant sur les sites de fuite de données (passant de 6 % les années précédentes à 8,5 % en 2024, puis à 11 % en 2025), souligne l'importance et l'urgence de ces recommandations.
John Hultquist, Chief Analyst chez GTIG, déclare à propos des difficultés d'attribution actuelles : « Le groupe connu sous le nom de Scattered Spider est relativement peu actif. Les acteurs y entrent et en sortent, et les liens entre eux ne sont pas très solides. Cela complique l'attribution et rend difficile l'arrêt total de leurs activités. »
Charles Carmakal, CTO de Mandiant Consulting, ajoute : « UNC3944, ou Scattered Spider, est connu pour ses opérations d'intrusion perturbatrices, et se distingue comme l'un des groupes les plus agressifs et répandus en Europe et aux États-Unis. Son efficacité repose notamment sur une structure fluide et sa collaboration avec plusieurs groupes établis de ransomware et d'extorsion multifacette. Après une baisse d'activité liée à l'arrestation de certains membres présumés, nous observons aujourd'hui un retour en force de ce groupe, ce qui nécessite une vigilance accrue de la part des organisations. »
