Scattered Spider cible les assureurs américains après avoir touché le commerce de détail au Royaume-Uni, prévient Google
Un groupe de pirates informatiques connu pour ses attaques très médiatisées contre des géants de la distribution s'attaque désormais au secteur de l'assurance, selon un nouvel avertissement du Threat Intelligence Group de Google. Ce groupe, connu sous le nom de Scattered Spider , a été associé à une série de cyberattaques récentes qui ont perturbé l'accès des assurés aux États-Unis.
Cette alerte fait suite à une série de violations de données survenues chez de grands distributeurs britanniques plus tôt cette année. Suite à cette vague d'attaques, les analystes de Google ont constaté que Scattered Spider avait commencé à cibler des distributeurs basés aux États-Unis. Aujourd'hui, les chercheurs affirment que le groupe manifeste un intérêt manifeste pour les compagnies d'assurance et exploite activement leurs employés par le biais de l'ingénierie sociale .
« Les acteurs affichant la marque de Scattered Spider ciblent désormais le secteur de l'assurance ; ils ont l'habitude de s'infiltrer dans un secteur », a déclaré John Hultquist, analyste en chef du Threat Intelligence Group de Google. Dans un article publié sur X, il a souligné que Scattered Spider s'appuie fortement sur l'ingénierie sociale, notamment dans ses stratégies visant les services d'assistance et les centres d'appels.
Les acteurs affichant la marque de fabrique de Scattered Spider ciblent désormais le secteur de l'assurance. Ils ont pour habitude de s'infiltrer dans un secteur. Les compagnies d'assurance doivent se méfier des stratagèmes d'ingénierie sociale ciblant leurs centres d'appels.
— John Hultquist (@JohnHultquist) 16 juin 2025
Cette tactique n'est pas nouvelle, mais elle reste efficace. Plutôt que de recourir à des exploits complexes ou à des logiciels malveillants, le groupe se fait souvent passer pour des employés ou des sous-traitants afin de convaincre le personnel de réinitialiser ses mots de passe ou de partager ses identifiants d'accès sensibles. Cette approche permet aux attaquants d'entrer sans avoir à violer la sécurité.
Bien que Google n'ait pas publiquement nommé les entreprises touchées par cette dernière vague d'attaques, Erie Insurance, un assureur basé en Pennsylvanie, a signalé une faille de sécurité le 7 juin. L'entreprise n'a pas confirmé l'identité de l'auteur, mais le timing correspond à l'avertissement de Google. Erie a publié des mises à jour à ses clients, mais n'a pas encore communiqué de détails sur l'ampleur exacte de l'intrusion.
Dans le même temps, la division assurance de Scania aurait également été touchée, ce qui renforce les inquiétudes selon lesquelles la concentration du groupe sur les assureurs est en bonne voie.
🚨Alerte de violation de données‼️ 🇸🇪Suède – Scania Financial ServicesUn acteur malveillant utilisant l'alias « hensi » prétend avoir violé le sous-domaine insurance.scaniacom, obtenant prétendument accès à un ensemble complet de fichiers et les exfiltrant.
L'acteur déclare qu'il s'agit d'une première intrusion… pic.twitter.com/aPP09wSjhB
Dave Gerry, PDG de Bugcrowd, affirme que l'activité récente met en évidence les risques de longue date dans la manière dont les entreprises gèrent les systèmes de support internes.
« Ils exploitent les vulnérabilités grâce à des tactiques d'ingénierie sociale, en se concentrant sur les services d'assistance et les centres d'appels, où l'humain est souvent le maillon faible », a déclaré Gerry. « Des incidents comme celui d'Erie Insurance montrent combien il est important pour le secteur de l'assurance de revoir ses défenses et ses stratégies de réponse aux incidents. Il ne s'agit pas d'événements isolés. Il s'agit d'une action ciblée et continue. »
Les assureurs détiennent des données financières et personnelles sensibles, une cible tentante pour les pirates. Mais ce qui les rend particulièrement vulnérables, c'est la combinaison d'informations de grande valeur et de systèmes d'assistance client complexes, qui nécessitent souvent du personnel pour traiter des demandes d'accès urgentes ou des modifications de compte.
Lorsque les acteurs malveillants parviennent à se faire passer pour des employés ou des clients de manière suffisamment convaincante, les employés du service d'assistance peuvent, sans le savoir, transmettre l'accès à des outils internes ou à des comptes d'utilisateurs.
Les organisations devraient revoir la manière dont les équipes d'assistance vérifient l'identité et gèrent l'accès aux comptes. La vérification en plusieurs étapes, une meilleure formation et la limitation des autorisations peuvent contribuer à réduire le risque d'une attaque d'ingénierie sociale réussie.
HackRead
