Les pirates informatiques ciblent désormais les détaillants américains après les attaques au Royaume-Uni et Google

Les pirates informatiques du groupe Scattered Spider, connu pour ses attaques contre les détaillants au Royaume-Uni, ciblent désormais les détaillants américains, ont averti les experts en cybersécurité de Google.

Le célèbre groupe de cybercriminels Scattered Spider cible désormais activement les entreprises de vente au détail aux États-Unis, après une série d'attaques perturbatrices contre des entreprises similaires au Royaume-Uni.

Cet avertissement provient directement des experts en cybersécurité de Google Threat Intelligence Group (GTIG) et de la filiale de Google Mandiant , qui soulignent l'efficacité du groupe à contourner même les mesures de sécurité les plus strictes.

« Le secteur de la vente au détail aux États-Unis est actuellement la cible d'opérations de rançongiciel et d'extorsion que nous soupçonnons d'être liées à UNC3944, également connu sous le nom de Scattered Spider », a déclaré John Hultquist, analyste en cybersécurité de Google.

Il convient de noter que Scattered Spider (alias UNC3944) est le principal suspect des récentes attaques contre les géants britanniques de la distribution Harrods, Co-op et M&S. Cependant, le Centre national de cybersécurité britannique (NCSC), Mandiant et Google ne les ont pas encore officiellement attribuées à un acteur spécifique. Cependant, les chercheurs du GTIG suggèrent que les pirates informatiques ciblant les détaillants américains partagent des techniques et des procédures similaires à celles des auteurs des incidents britanniques.

Les chercheurs ont identifié un lien possible entre les opérateurs du rançongiciel DragonForce et Scattered Spider. Le premier a revendiqué les récentes tentatives d'attaques contre plusieurs détaillants britanniques, utilisant des tactiques similaires à celles de Scattered Spider. De plus, tous deux étaient associés à la plateforme RaaS, aujourd'hui disparue, RansomHub.

Cependant, le GTIG n'a pas pu confirmer le lien entre UNC3944/DragonForce et l'augmentation des fuites de données dans le commerce de détail. Néanmoins, la présence croissante de victimes du commerce de détail sur les sites de fuites de données (11 % en 2025, en hausse par rapport aux années précédentes) suggère que les acteurs malveillants trouvent ce secteur attractif en raison de l'importance des données personnelles et financières qu'ils détiennent et de leur volonté de payer une rançon pour maintenir le traitement des transactions.

Selon les précédents rapports de Hackread.com, Scattered Spider est un acteur malveillant motivé par l'appât du gain, connu pour ses techniques d'ingénierie sociale. Il s'est fait connaître en piratant les géants des casinos MGM Resorts International et Caesars Entertainment en 2023. Il a d'abord ciblé des opérateurs de télécommunications pour des échanges de cartes SIM , puis a commencé à déployer des rançongiciels pour extorquer des victimes.

Ils sont également connus pour leurs tentatives d'hameçonnage et leurs attaques MFA , où ils bombardent leurs cibles de demandes d'authentification multifacteur. Généralement, l'UNC3944 cible les entreprises établies, en particulier celles disposant de services d'assistance importants et de services informatiques externalisés, car ces derniers sont plus vulnérables à leurs techniques sophistiquées d'ingénierie sociale.

L'analyse du GTIG révèle que, depuis début 2023, l'UNC3944 cible des secteurs très divers, notamment les technologies, les télécommunications, les services financiers, l'externalisation des processus métier (BPO), les jeux vidéo, l'hôtellerie, la vente au détail et les médias et divertissements. Géographiquement, ses cibles principales sont encore plus diversifiées, avec notamment les États-Unis, le Canada, le Royaume-Uni, l'Australie, Singapour et l'Inde.

L'ISAC Retail & Hospitality, un groupe de partage d'informations regroupant des acteurs majeurs comme Albertsons, Costco, McDonald's et Lowe's, a reconnu la menace et collabore avec Google pour fournir à ses membres des informations détaillées et des conseils sur la manière de renforcer leurs défenses contre cette menace en constante évolution. L'avertissement de Google constitue un signal clair pour les détaillants américains : ils doivent rester vigilants et revoir leurs protocoles de sécurité.

Chad Cragle , CISO chez Deepwatch, une plateforme de cyber-résilience IA+humaine basée à San Francisco, en Californie :

Scattered Spider (UNC3944) utilise une ingénierie sociale sophistiquée pour infiltrer et déployer des rançongiciels. Pour vous protéger contre ce groupe, sécurisez les comptes privilégiés, implémentez une MFA résistante au phishing et vérifiez chaque demande d' identité au support technique.

« Les détaillants sont particulièrement vulnérables, car ils traitent de grandes quantités de données de paiement, gèrent des chaînes d'approvisionnement complexes et fonctionnent sous une pression de disponibilité importante qui encourage souvent le paiement de rançons » , a averti Chad. « Cependant, les organisations disposant de données précieuses et de besoins critiques en matière de disponibilité sont tout aussi exposées. »