Google a récemment signalé qu’un compte frauduleux avait été créé dans son portail de demandes judiciaires (Law Enforcement Request System, LERS), utilisé par les forces de l’ordre et d’autres agences gouvernementales pour demander des données sur les utilisateurs de Google.
“Nous avons identifié qu’un compte frauduleux avait été créé dans notre système pour les demandes des forces de l’ordre et avons désactivé ce compte,” a déclaré un porte-parole de Google. “Aucune demande n’a été faite avec ce compte frauduleux et aucune donnée n’a été consultée.”
Cette déclaration de Google fait suite à des publications sur BreachForums par un groupe appelé Scattered Lapsus$ Hunters, qui serait composé de membres de trois autres groupes notoires de cybercriminalité : Scattered Spider, ShinyHunters et Lapsus$. Peu après avoir annoncé leur retrait du secteur du ransomware, ce groupe a indiqué par le biais d’écrans de capture qu’il avait accès à Google LERS ainsi qu’au système national de vérification des antécédents criminels de l’FBI (NICS), qui effectue des contrôles pour s’assurer que les acheteurs d’armes ne sont pas interdits d’en posséder. L’FBI a refusé de commenter les affirmations des extorqueurs.
Il est évident que Scattered Spider, ShinyHunters et Lapsus$ se complaisent à jouer avec l’attention médiatique tout autant qu’avec les gains illégitimes, surtout lorsqu’il s’agit de provoquer les forces de l’ordre et les chasseurs de menaces de Mandiant, une entreprise propriété de Google.
Après avoir revendiqué la responsabilité de l’attaque récente contre Jaguar et d’autres attaques contre M&S, Co-op et Harrods cet été, les Scattered Lapsus$ Hunters ont annoncé à la fin de la semaine dernière qu’ils prenaient leur retraite de la cybercriminalité.
Dans un message d’adieu sur Breachforums, ces cybercriminels ont déclaré avoir “décidé de rester dans l’ombre” et ont qualifié de “victimes collatérales de notre guerre au pouvoir” les huit membres de Scattered Spider et ShinyHunters qui ont été arrêtés depuis avril 2024.
“Si vous vous inquiétez pour nous, ne le faites pas… [Nous] profiterons de nos parachutes dorés avec les millions accumulés par le groupe,” a continué leur diatribe. “D’autres continueront à étudier et à améliorer les systèmes que vous utilisez dans votre vie quotidienne. Dans le silence.” Ils ont également publié des captures d’écran qui semblaient montrer Google LERS et le NICS de l’FBI, sur lesquelles était inscrit “Scattered Lapsus$ Hunters”.
La plupart des analystes en sécurité informatique ont accueilli cette annonce de retraite avec une prudence mesurée.
“Plutôt qu’un véritable démantèlement, cette annonce signale probablement un mouvement stratégique pour distancer le groupe d’une pression croissante de la part des forces de l’ordre,” a déclaré Karl Sigler, responsable de la recherche en sécurité chez Trustwave SpiderLabs. “Il est plausible qu’un élément de l’infrastructure opérationnelle du groupe ait été compromis,” tel qu’un système ou un canal de communication piraté, a-t-il ajouté. “Des groupes comme Scattered Spider ne disparaissent pas. Ils s’adaptent.”
Points à retenir
- La création d’un compte frauduleux sur le portail LERS de Google a suscité des inquiétudes sur la sécurité des données utilisateurs.
- Le groupe Scattered Lapsus$ Hunters a récemment revendiqué plusieurs cyberattaques de haut profil avant d’annoncer son retrait.
- Les experts en cybersécurité restent sceptiques quant à l’authenticité de cette prétendue retraite, la considérant davantage comme une stratégie d’évitement face à la pression des forces de l’ordre.
En somme, la situation actuelle soulève des questions importantes sur les évolutions des groupes de cybercriminalité et leur adaptabilité face à une pression accrue. Pourrait-on envisager de nouvelles stratégies pour contrer efficacement ces menaces, ou est-ce que la lutte contre la cybercriminalité va se transformer en un jeu du chat et de la souris perpétuel ?