Le point sur les Human Risk : L'araignée dispersée cible les compagnies d'assurance

Dans cette édition du Human Risk Roundup, Scattered Spider, un groupe de cybercriminels connu pour sa spécialisation sectorielle, a ciblé les compagnies d'assurance dans sa dernière vague d'attaques. "Les chercheurs en menaces de Google avertissent qu'une campagne de phishing sophistiquée cible les universitaires et les critiques de la Russie en se faisant passer pour le département d'État des États-Unis." 

L'araignée dispersée tisse sa toile autour du secteur de l'assurance 

Le groupe de menace responsable d'une récente série d'attaques contre les détaillants britanniques s'attaque maintenant aux compagnies d'assurance. Scattered Spider, également connu sous le nom de UNC3944, est réputé pour ses tactiques avancées d'ingénierie sociale et pour cibler un secteur à la fois. Trois assureurs ont été victimes d'attaques en l'espace de cinq jours ce mois-ci.  

Ce qui s'est passé 

"Le groupe de renseignement sur les menaces de Google a eu connaissance de plusieurs intrusions aux États-Unis qui présentent toutes les caractéristiques d'une activité de type "Scattered Spider". Nous constatons maintenant des incidents dans le secteur de l'assurance, a déclaré John Hultquist, analyste en chef de GTIG (" ), dans un courriel adressé à plusieurs médias. Le groupe utilise des méthodes d'ingénierie sociale pour exploiter les services d'assistance et les centres d'appel. Les acteurs de la menace se font passer pour des employés et utilisent des manœuvres psychologiques pour tromper les équipes informatiques et les amener à contourner l'authentification multifactorielle (MFA) et d'autres contrôles d'accès.  

Pourquoi c'est important 

L'entrée de Scattered Spider dans le secteur de l'assurance ne pose pas seulement des risques directs pour les opérations des assureurs, mais peut également exposer les dossiers des assurés et des informations sensibles. Ces attaques tirent parti de la dépendance du secteur à l'égard des services d'assistance et de l'importance du nombre d'employés. Compte tenu de l'affiliation déclarée du groupe avec des acteurs du ransomware et de ses récents partenariats dans le paysage cybercriminel, ce changement d'orientation pourrait entraîner de graves violations de données et des actes d'extorsion pour un secteur fortement tributaire de la confiance. 

Conseils pratiques pour les responsables de la sécurité dans le secteur de l'assurance 

Améliorez la sensibilisation aux tactiques d'ingénierie sociale: Veillez à ce que les employés du service d'assistance et le personnel de première ligne soient formés à reconnaître les tentatives d'usurpation d'identité et à réagir de manière appropriée en cas d'interactions suspectes. 

Encouragez les processus de validation des employés: Mettez en place des protocoles clairs pour vérifier l'identité des employés avant de leur accorder l'accès à des systèmes sensibles ou de réinitialiser les informations d'identification de leur compte. 

Surveillez de près les comportements liés au courrier électronique: Examinez régulièrement l'activité du courrier électronique pour y déceler des signes de compromission, tels que des règles de transfert inhabituelles, des demandes de réinitialisation de mot de passe inattendues ou un accès à partir d'endroits inconnus. 

Plus d'informations dans The Hacker News.

Des cyberattaquants russes se font passer pour le département d'État américain 

Une campagne de phishing sophistiquée menée par le groupe d'État russe UNC6293 a visé des personnes influentes, telles que des universitaires et des critiques de la Russie, en se faisant passer pour le département d'État des États-Unis. Cette campagne met en évidence la menace croissante des attaques ciblées par ingénierie sociale qui exploitent la confiance pour contourner les contrôles de sécurité, même les plus avancés. 

Ce qui s'est passé 

D'avril à juin 2025, UNC6293 a mené deux campagnes coordonnées de phishing visant à obtenir un accès à long terme aux comptes de courrier électronique des victimes. Les attaquants ont envoyé des courriels bien conçus en utilisant des adresses usurpées du département d'État américain pour paraître crédibles. Une fois que les victimes ont répondu, les pirates les ont guidées pour créer des mots de passe spécifiques aux applications (ASP) - des codes de 16 caractères conçus pour l'accès aux comptes Google par des applications tierces. 

Les attaquants ont utilisé ces ASP pour se connecter aux comptes de messagerie des victimes via des clients de messagerie et ont obtenu un accès à long terme à leurs comptes. Deux approches ont été identifiées : l'une utilisait un leurre sur le thème du département d'État et l'autre adoptait la marque ukrainienne et Microsoft pour accroître son attrait. Les deux campagnes se sont appuyées sur des proxys résidentiels et d'autres infrastructures pour dissimuler leurs activités et maintenir l'accès. 

Pourquoi c'est important 

Les tactiques de l'UNC6293 montrent comment la manipulation humaine ciblée peut aider les attaquants à contourner des mesures de sécurité solides telles que l'authentification multifactorielle (MFA). En obtenant un accès au courrier électronique au niveau des initiés, ces acteurs peuvent surveiller les communications sensibles, voler des données et se positionner en vue d'une exploitation ultérieure. Cette campagne nous rappelle brutalement que le phishing n'est plus une simple tactique de pulvérisation ; il s'agit d'une stratégie calculée qui exploite la confiance et les vulnérabilités humaines. 

Conseils pratiques pour les responsables de la sécurité 

Renforcez les protections contre les courriels de phishing: Mettez en place des systèmes qui détectent et bloquent de manière proactive les courriels suspects, y compris ceux dont l'adresse de l'expéditeur est usurpée ou dont les liens sont conçus pour voler des informations d'identification. 

Signalez et vérifiez les communications externes: Utilisez des mesures pour alerter les employés sur les risques potentiels liés aux courriels provenant de sources externes non vérifiées, afin de les aider à examiner de près les tentatives de communication inhabituelles. 

Surveillez et vérifiez l'activité des comptes: Vérifiez régulièrement le comportement de connexion et les schémas d'accès aux comptes pour détecter les anomalies telles que les connexions à partir de lieux inconnus ou d'appareils non autorisés. 

Sensibilisez les utilisateurs: Formez en permanence vos employés aux nouvelles tactiques de phishing et donnez-leur les moyens d'identifier et de signaler les escroqueries personnalisées qui ciblent les vulnérabilités humaines. 

 À surveiller : Le DHS met en garde contre des cyberattaques en provenance d'Iran 

Le ministère de la sécurité intérieure (DHS) met en garde contre le risque d'une augmentation des activités cybernétiques malveillantes de la part de l'Iran à la suite des frappes militaires américaines sur les installations nucléaires iraniennes. Le bulletin prévient que les agents iraniens et les hacktivistes qui les soutiennent sont susceptibles de mener des cyberattaques de faible ampleur contre les réseaux américains en guise de représailles.

Outre les cybermenaces, le DHS a mis en évidence un risque accru pour la sécurité des représentants du gouvernement américain et des détracteurs du régime iranien. Les pirates informatiques liés à l'Iran ont l'habitude de s'attaquer à des infrastructures critiques mal sécurisées, notamment des compagnies des eaux et des entreprises technologiques. 

Pour en savoir plus, consultez Cybersecurity Dive. 

Mimecast Threat Intelligence : Nouvelle vague de la campagne Astaroth Infostealer 

Samantha Clarke et l'équipe de recherche sur les menaces de Mimecast ont découvert une nouvelle vague de la campagne Astaroth Infostealer, une opération sophistiquée de malware ciblant l'Amérique latine, en particulier le Brésil et le Mexique. Ce malware sophistiqué, actif depuis 2017, emploie des techniques d'attaque sans fichier pour échapper à la détection et utilise des emails de phishing pour initier les infections. Les victimes sont incitées à cliquer sur des liens malveillants qui téléchargent du JavaScript obscurci, ce qui permet au malware de voler des informations sensibles telles que des identifiants bancaires. 

Les opérations d'Astaroth sont caractérisées par le geofencing et des tactiques d'ingénierie sociale adaptées, ce qui les rend particulièrement efficaces dans les régions ciblées. Avec une distribution quotidienne stupéfiante de 100 000 emails de phishing, la campagne représente une menace importante. Les organisations sont invitées à renforcer leurs mesures de sécurité du courrier électronique et à sensibiliser les utilisateurs pour lutter contre cette menace en constante évolution.  

Pour plus d'informations sur Astaroth Infostealer, visitez notre Threat Intelligence Hub.