115 M$ de rançons et une intrusion judiciaire

Un adolescent britannique de 19 ans est accusé d’avoir mené 120 cyberattaques, extorqué 115 M$ et infiltré le réseau informatique du système judiciaire fédéral américain.

Le Département de la Justice américain a révélé l’ampleur des activités de Scattered Spider, un collectif de cybercriminels accusé d’avoir extorqué au moins 115 millions $ (108,5 M€) en rançons depuis 2022. Au centre de l’affaire : Thalha Jubair, 19 ans, arrêté à Londres et inculpé de fraude informatique, fraude électronique et blanchiment. Les enquêteurs lient le groupe à plus de 120 attaques, dont 47 visant des entités américaines. Les pirates auraient compromis le réseau informatique du système judiciaire fédéral, accédant à des données sensibles, y compris celles de juges. L’affaire illustre la vulnérabilité persistante des infrastructures critiques face aux techniques d’ingénierie sociale utilisées par Scattered Spider.

Une campagne de rançons massive

Les procureurs affirment que Jubair et ses complices ont extorqué au moins 115 millions de dollars (108,5 M€) auprès de dizaines d’organisations en trois ans. Dans certains cas, des victimes ont versé jusqu’à 36,2 millions de dollars US (34,2 millions €) en une seule transaction. L’un des serveurs utilisés par le groupe hébergeait un portefeuille de cryptomonnaies contenant 36 millions $ (34 M€), saisi par les autorités américaines en juillet 2024. Avant la saisie, une partie des fonds avait été transférée vers d’autres adresses.

La méthode était souvent la même : un appel au support technique, une demande de réinitialisation de mot de passe, puis la prise de contrôle d’un compte administrateur. Cette technique de social engineering a permis de voler des données, chiffrer des systèmes et exiger des rançons massives. Matthew Galeotti, procureur général adjoint par intérim, a dénoncé l’impact de ces intrusions sur des infrastructures critiques et sur le système judiciaire fédéral.

Intrusion dans le réseau des tribunaux américains

Le 8 janvier 2024, Jubair aurait contacté l’assistance du réseau informatique des tribunaux fédéraux américains pour obtenir un accès. Il aurait ensuite compromis plusieurs comptes, dont celui d’un juge fédéral, afin de rechercher des mandats le concernant ou visant le groupe Scattered Spider.

Les pirates ont aussi tenté de pénétrer le compte d’un magistrat lié à une affaire impliquant un complice. Avec un compte compromis, ils ont adressé une demande frauduleuse à une société financière pour obtenir en urgence des informations clients. Les enquêteurs affirment que les serveurs de Jubair ont servi à réinitialiser des mots de passe, télécharger les données dérobées et effectuer des recherches ciblées sur certaines victimes. Les fichiers volés comprenaient des milliers de noms, fonctions et localisations de membres du personnel judiciaire.

Des preuves numériques multiples

L’enquête a relié Jubair à ses serveurs et à ses portefeuilles de cryptomonnaies par des éléments concrets : comptes Telegram, achats de cartes cadeaux, livraisons de repas et inscriptions sur des plateformes de jeux. Un compte Telegram, utilisé pour discuter d’attaques et de répartition de rançons, a été associé à l’adresse IP ayant servi à se connecter à un compte de jeu enregistré à son domicile.

D’autres indices matériels ont renforcé l’identification. En mai 2024, une carte cadeau achetée via un portefeuille crypto lié au suspect a été utilisée pour une livraison à son immeuble. Des témoins ont confirmé son identité en reconnaissant sa photo. Les conversations interceptées montrent que Jubair évoquait plus de 40 cyberattaques et partageait les revenus avec ses complices, dont selon les informations de ZATAZ avec des francophones.

L’enquête, menée par le FBI en coopération avec l’agence britannique NCA, la police métropolitaine de Londres, ainsi que des services au Canada, en Australie, en Roumanie et aux Pays-Bas, démontre la dimension internationale de Scattered Spider. Jubair encourt jusqu’à 95 ans de prison s’il est reconnu coupable.