Le monde des cybercriminels est en constante évolution, et récemment, une nouvelle menace a fait surface : le gang Scattered Spider. Ce groupe malveillant cible spécifiquement les instances de serveurs hébergeant le système hyperviseur ESXi de VMware, une technologie largement utilisée pour la virtualisation. En juillet 2025, le FBI a émis une alerte concernant ces cyberattaques qui affectent particulièrement les secteurs sensibles, notamment la finance, l’aérien et l’industrie pharmaceutique.
Modes d’opération de Scattered Spider
Les cybercriminels de Scattered Spider, également connus sous le nom de UNC3944, mettent en œuvre des tactiques d’ingénierie sociale pour infiltrer des systèmes. Ils se font souvent passer pour des employés ou des sous-traitants afin de manipuler les équipes de support pour obtenir un accès non autorisé. Une fois à l’intérieur des systèmes, ils volent des données sensibles à des fins d’extorsion et déploient des ransomwares, causant ainsi des perturbations significatives et des pertes financières importantes.
Les chercheurs de Mandiant, une équipe de sécurité de Google, ont identifié un processus d’attaque en cinq phases, allant de la compromission initiale à l’exécution finale du rançongiciel. Ce processus complexe et rapide, parfois réalisé en quelques heures, montre à quel point les cyberattaques peuvent être sophistiquées et redoutables.
Pratiques de sécurité recommandées
Pour se défendre contre de telles attaques, Mandiant conseille plusieurs mesures préventives. Il est fortement recommandé de ne pas relier les hôtes ESXi à Active Directory, de mettre en œuvre l’authentification multifactorielle (MFA) sur les accès critiques, et de transférer tous les logs des systèmes et réseaux vers un SIEM (Système d’Information et de Gestion des Événements de Sécurité). Cette approche permettra une corrélation efficace des données et la création de scénarios de détection adaptés pour repérer les mouvements suspects des attaquants.
En résumé, les attaques par ransomware, en particulier celles orchestrées par des groupes tels que Scattered Spider, représentent une menace croissante dans le paysage cybernétique actuel. Les entreprises doivent renforcer leurs protocoles de sécurité et adopter une stratégie défensive proactive pour se protéger contre cette escalade des cybermenaces.
Pour plus d’informations sur cette menace, consultez l’article complet sur Le Monde Informatique ici : Le gang de ransomware Scattered Spider vise les instances ESXi.
