Archives par mot-clé : Scattered Spider

Entreprise, Justice, Securite informatique

Aflac : 22,7 millions de personnes touchées après la fuite de juin

En juin, une intrusion informatique chez Aflac a exposé des données sensibles à grande échelle. L’assureur dit avoir stoppé l’attaque en quelques heures, mais confirme un vol de fichiers concernant 22,7 millions d’individus.

Le groupe d’assurance basé en Géorgie confirme qu’une cyberattaque survenue en juin a entraîné le vol d’informations personnelles concernant environ 22,7 millions de personnes, dont plus de 2 millions au Texas. Aflac affirme avoir contenu l’intrusion « en quelques heures » et ne pas avoir subi de rançongiciel, tout en reconnaissant que des documents ont été exfiltrés. Les fichiers dérobés portent sur des demandes d’indemnisation, des données de santé, des numéros de Sécurité sociale et d’autres éléments identifiants, touchant clients, bénéficiaires, salariés, agents et autres personnes liées aux activités américaines. L’enquête s’est achevée le 4 décembre, sept mois aprés la cyber attaque !

Ce que l’enquête interne révèle, et ce qu’elle ne dit pas

Aflac a publié une déclaration marquant la fin d’une enquête ouverte après l’incident annoncé plus tôt dans l’année. Le récit officiel suit une ligne claire : détection rapide, arrêt de l’intrusion « dans les heures », continuité des opérations, puis confirmation d’un vol de données. Autrement dit, la disponibilité des systèmes n’a pas vacillé, mais la confidentialité, elle, a cédé. Pour un assureur, c’est souvent le scénario le plus redouté : la machine continue de tourner, tandis que la fuite, silencieuse, produit ses effets longtemps après.

L’entreprise avait déjà alerté la Securities Exchange Commission (SEC) sur un point central : malgré l’endiguement, certains fichiers ont été emportés par les cybercriminels. Dans sa nouvelle communication, Aflac insiste sur l’absence de rançongiciel. Cette précision compte, parce qu’elle déplace la lecture du risque. Sans chiffrement généralisé ni extorsion affichée, l’attaque s’apparente davantage à une opération de collecte ciblant des dossiers à forte valeur : pièces de sinistres, éléments médicaux, identifiants administratifs, et tout ce qui permet, ensuite, de frauder, d’usurper ou de recouper.

Le périmètre humain est massif. Des responsables au Texas indiquent que plus de 2 millions de résidents ont été affectés. Au total, environ 22,7 millions de personnes voient leurs informations potentiellement compromises. Aflac précise que les documents exfiltrés contiennent des informations liées aux réclamations d’assurance, des données de santé, des numéros de Sécurité sociale et d’autres détails personnels. La liste des populations concernées dépasse les seuls clients : bénéficiaires, employés, agents, et « d’autres individus » associés aux activités américaines de l’assureur.

La chronologie est, elle aussi, un message. Les courriers envoyés aux victimes indiquent que l’enquête a été conclue le 4 décembre. L’entreprise a commencé à notifier les régulateurs d’États et à expédier des lettres de notification de violation de données. Dans ces lettres, Aflac propose deux ans de services de protection d’identité, avec une date limite d’inscription fixée au 18 avril 2026. Ce type de mesure sert autant à réduire l’impact immédiat, qu’à reconnaître implicitement la durée probable du risque : l’exploitation de données d’identité peut survenir des mois, parfois des années, après une fuite.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Dans l’ombre, un signal plus large : l’assurance comme terrain de chasse

L’incident ne survient pas en vase clos. Il s’inscrit dans une vague d’attaques ayant visé le secteur de l’assurance, attribuées à une organisation surnommée Scattered Spider. Le texte décrit un collectif « faiblement affilié », composé de cybercriminels anglophones, connu pour ses accès initiaux obtenus par usurpation, notamment en se faisant passer pour des employés IT. Ce détail est crucial du point de vue renseignement : l’entrée ne dépend pas forcément d’une faille technique sophistiquée, mais d’une capacité à manipuler les procédures internes, le support, l’urgence, la confiance. Quand l’adversaire sait parler le langage des tickets, des mots de passe et des « réinitialisations« , la surface d’attaque devient l’organisation elle-même. Bref, l’entreprise a été piratée par Scattered Spider.

Au même moment, Erie Insurance, Philadelphia Insurance Companies et Scania Financial Services ont également signalé des cyberattaques. Pris ensemble, ces cas dessinent une campagne opportuniste mais structurée : une industrie riche en données, habituée aux échanges documentaires, et contrainte par des obligations de notification, donc prévisible dans sa réponse. Pour les attaquants, c’est un avantage : chaque annonce publique valide que l’accès a eu lieu, et la nature des données laisse entrevoir des usages multiples, de la fraude au chantage individuel, sans qu’il soit nécessaire de bloquer la production par un rançongiciel.

La pression policière, elle, apparaît en filigrane. Après ces attaques, un site de fuite utilisé par le groupe a été démantelé, et deux membres ont été arrêtés puis inculpés au Royaume-Uni. Une plainte du Department of Justice, rendue publique en septembre, affirme que l’opération Scattered Spider a pu extorquer au moins 115 millions $ (105,8 millions €) à des dizaines de victimes en trois ans.

Aflac affirme avoir prévenu les forces de l’ordre fédérales et engagé des experts en cybersécurité. Reste une tension, typique des crises modernes : l’entreprise explique avoir évité l’arrêt opérationnel, mais doit maintenant gérer la seconde phase, la plus longue, celle où des millions de personnes deviennent des cibles potentielles de fraudes et d’arnaques alimentées par des données authentiques. La question n’est plus seulement « qui est entré« , mais « qui exploitera ce qui a été pris« , et à quel rythme.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, Entreprise, Espionnage Spy, Justice

CrowdStrike sanctionne un « initié » après business pirate

CrowdStrike a licencié un employé accusé d’avoir transmis des informations internes à un collectif de hackers. L’affaire illustre une menace difficile à neutraliser : l’abus de confiance, parfois plus simple qu’une intrusion technique.

CrowdStrike a confirmé le licenciement d’un employé ayant divulgué des informations internes à un groupe baptisé Scattered Lapsus Hunters, présenté comme une alliance mêlant des profils liés à Scattered Spider, LAPSUS$ et ShinyHunters. Des captures d’écran publiées sur un canal Telegram public montraient un tableau de bord interne de CrowdStrike, avec des liens vers des systèmes d’entreprise, dont l’authentification unique Okta. Les attaquants ont d’abord évoqué une compromission via le prestataire Gainsight et des cookies d’authentification. CrowdStrike nie toute intrusion externe et affirme qu’il s’agissait de photos prises par l’employé. ShinyHunters aurait proposé 25 000 $ (23 000 €) pour obtenir un accès.

Une fuite « par l’intérieur » plutôt qu’une brèche technique

Le cœur du dossier est une clarification d’attribution. Le groupe a, dans un premier temps, revendiqué une compromission de CrowdStrike via une plateforme tierce, Gainsight, en affirmant avoir récupéré des cookies d’authentification. CrowdStrike répond en niant catégoriquement toute attaque externe réussie. Selon l’entreprise, les images ne démontrent pas une intrusion : ce sont des captures prises par un employé depuis son propre écran, puis divulguées.

Les captures publiées sur Telegram auraient montré l’interface d’un tableau de bord interne, avec des liens vers des systèmes de l’entreprise, dont la page d’authentification unique Okta. Même sans accès direct, ce type d’éléments peut alimenter un repérage : cartographie des outils, vocabulaire interne, chemins d’accès, et indices sur la manière dont l’organisation structure ses contrôles.

Le récit insiste sur le risque interne. CrowdStrike place ce danger au même niveau que les vulnérabilités techniques, parce qu’un initié n’a pas besoin de “casser” la sécurité pour faire sortir de l’information. Il peut simplement la copier, la photographier ou la raconter, en profitant d’un accès déjà légitime.

L’offre financière et la tactique de « super alliance »

Une enquête plus poussée, selon CrowdStrike, a établi que ShinyHunters avait offert 25 000 $ (23 000 €). Cette somme suggère une logique de recrutement : payer pour accélérer l’accès, réduire les risques d’attaque directe, et contourner des défenses techniques coûteuses à franchir.

Le groupe cité, Scattered Lapsus Hunters, est décrit comme une « super alliance » rassemblant des membres de plusieurs collectifs connus. L’intérêt de ce type de bannière, dans une opération, est d’agréger des compétences et de maximiser l’impact psychologique, tout en brouillant les responsabilités. En prétendant à une intrusion via un tiers, l’attaquant peut aussi tester la réaction publique et pousser la cible à se défendre, ce qui révèle parfois des informations supplémentaires.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

 

CrowdStrike affirme que son centre de sécurité a détecté l’anomalie à temps, que les attaquants n’ont pas réussi à établir un accès valide, et que l’événement a été rapidement contenu. L’entreprise indique que ses systèmes n’ont pas été compromis et que ses clients sont restés protégés. L’employé mis en cause a été licencié, et l’affaire a été transmise aux forces de l’ordre.

Ce passage met en avant une distinction essentielle : fuite d’information ne veut pas dire prise de contrôle. Ici, CrowdStrike sépare l’exposition, captures et éléments de connexion, d’une compromission effective de ses systèmes. Cette nuance compte, car les récits d’attaque jouent souvent sur l’ambiguïté entre “preuve de présence” et “preuve d’accès”, surtout lorsqu’une publication sur un canal public vise à créer une perception de défaillance.

Une leçon de chaîne d’approvisionnement, mais aussi de gestion RH

L’incident est rattaché à une série d’attaques récentes attribuées à ce même ensemble d’acteurs contre de grandes entreprises. Le texte souligne leur appétit pour les fournisseurs externes et prestataires, citant Salesforce et Gainsight comme exemples de surfaces privilégiées. Mais l’épisode CrowdStrike rappelle qu’un prestataire n’est pas la seule porte d’entrée : un employé peut jouer ce rôle, volontairement, sous contrainte ou contre rémunération.

Pour les organisations, le message est concret. Renforcer les défenses techniques reste indispensable, mais l’angle mort se situe souvent dans la gouvernance des accès : qui voit quoi, à quel moment, avec quelles traces, et avec quelles barrières contre l’exfiltration “banale”, photo d’écran, export, copie. La prévention passe aussi par la détection comportementale interne et par une politique claire sur les dispositifs personnels, les canaux de messagerie, et la gestion des alertes quand un salarié devient un point de risque.

Cette affaire illustre une réalité opérationnelle : l’attaquant n’a pas toujours besoin d’exploiter une faille, il peut acheter ou manipuler un accès humain, puis fabriquer un récit d’intrusion externe pour amplifier l’effet. La question, côté cyber et renseignement, est désormais de savoir comment mesurer et réduire la probabilité de trahison opportuniste, sans bloquer le travail quotidien : quelles combinaisons de contrôle d’accès, de traçabilité et de signaux RH permettent de détecter un initié avant la fuite publique ?

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, Entreprise, Securite informatique

Cyberattaque contre Co-op : un manque à gagner de 200 millions d’euros !

Une attaque informatique au printemps a privé Co-op de 274 millions € de revenus, perturbé ses approvisionnements et exposé les données personnelles de 6,5 millions de membres.

Le distributeur britannique Co-op a révélé que la cyberattaque d’avril lui a coûté 206 M£ (274 M€) de revenus, touchant principalement son activité alimentaire. L’incident a entraîné des rayons vides, des systèmes mis hors ligne et la compromission des données de ses 6,5 millions de membres. Selon l’entreprise, les pertes directes de profit se chiffrent à 80 M£ (107 M€). L’enquête a conduit à l’arrestation de quatre personnes, dont un mineur, soupçonnés d’être liés au groupe criminel Scattered Spider. Co-op affirme avoir évité le verrouillage complet de ses systèmes grâce à une déconnexion préventive de ses réseaux, mais reste marqué par un affaiblissement de sa compétitivité face à ses rivaux.

Un réseau fragilisé par l’attaque

L’attaque a été détectée en avril. Pour limiter sa propagation, Co-op a choisi de couper volontairement ses systèmes centraux, ce qui a réduit immédiatement la disponibilité des produits en magasin. Les semaines suivantes, les clients ont constaté des rayons vides et des promotions suspendues. Le rapport semestriel précise que l’activité alimentaire a été la plus affectée. La direction a reconnu que la concurrence a profité de la situation pour capter une partie de la clientèle. Malgré la poursuite des ventes, la rentabilité a plongé, avec un manque à gagner de 80 millions de £ (107 millions €) rien que sur le premier semestre.

 

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Un mode opératoire attribué à Scattered Spider

Les enquêteurs soupçonnent que les attaques visant Co-op, M&S et Harrods soient reliées au groupe Scattered Spider, une constellation de jeunes pirates actifs dans l’intrusion de réseaux d’entreprises. Quatre suspects ont été arrêtés en juillet, dont un adolescent. Cette proximité entre acteurs très jeunes et attaques de grande ampleur illustre la difficulté à anticiper l’origine des menaces. Le mode opératoire évoqué s’inscrit dans la tendance des assaillants à viser simultanément plusieurs cibles commerciales, exploitant les dépendances technologiques de la distribution moderne.

Des données massivement compromises

Bien que Co-op ait évité un verrouillage complet par rançongiciel, la fuite de données a touché l’ensemble de ses 6,5 millions de membres. Les informations personnelles compromises alimentent désormais la crainte d’un usage ultérieur par des groupes criminels pour de l’usurpation d’identité ou du chantage. La direction a insisté sur le fait que les équipes ont travaillé sans relâche pour restaurer les opérations et protéger les infrastructures. Mais la perte de confiance reste un enjeu majeur. Dans un secteur où la fidélisation repose sur la sécurité perçue des systèmes de paiement et des données clients, l’atteinte est autant réputationnelle que financière.

L’affaire Co-op souligne la vulnérabilité des chaînes de distribution aux attaques coordonnées et la porosité croissante entre cybercriminalité juvénile et opérations structurées. La question demeure : jusqu’où les enseignes britanniques sont-elles capables d’anticiper de telles menaces et de protéger durablement leurs données sensibles ?

 

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

backdoor, Cyber-attaque, Cybersécurité, Securite informatique

Google sous pression après une menace du collectif Scattered LapSus Hunters

Un collectif cybercriminel exige le licenciement de deux experts sécurité de Google. Sans preuve d’intrusion, la menace illustre une nouvelle tactique d’intimidation contre les équipes de renseignement.

Le collectif Scattered LapSus Hunters, réunissant trois groupes de pirates connus, menace Google de divulguer des données internes si deux de ses experts en cybersécurité ne sont pas renvoyés. Cette demande inédite, relayée sur Telegram, cible directement les équipes de Threat Intelligence de l’entreprise. Aucune preuve d’intrusion n’a été présentée à ce jour, mais la menace intervient après une fuite récente liée à un prestataire Salesforce ayant touché des données de contacts professionnels. Google n’a pas confirmé de compromission ni réagi publiquement à cet ultimatum. L’affaire met en lumière les pressions croissantes exercées sur les géants technologiques et le rôle clé de leurs cellules de renseignement cyber.

Origines et méthodes du collectif

Les Scattered LapSus Hunters se présentent comme une alliance de trois acteurs notoires de la cybercriminalité : Scattered Spider, LapSus$ et ShinyHunters. Chacun s’est déjà illustré par des attaques marquantes contre de grandes entreprises technologiques. Scattered Spider est réputé pour ses campagnes de social engineering et ses opérations de rançongiciels. LapSus$ s’est fait connaître en piratant Microsoft, NVIDIA et d’autres géants du secteur. ShinyHunters, pour sa part, a bâti sa réputation en volant et en revendant des bases de données issues de plateformes comme Wattpad ou Tokopedia. Personne ne s’est encore imaginé « publiquement » qu’ilm s’agirait peut-être de la même personne, cachait depuis peu sous ces trois signatures.

Cette coalition revendique aujourd’hui une stratégie atypique : exiger non pas une rançon financière, mais le renvoi de deux employés de l’équipe de Threat Intelligence de Google. Une telle démarche suggère que ces analystes mènent activement des enquêtes susceptibles de nuire aux opérations des cybercriminels. Les noms n’ont pas été divulgués, mais le ciblage personnel constitue une escalade significative dans la confrontation entre acteurs malveillants et équipes de défense.

Alerte après une fuite via Salesforce

La menace survient quelques semaines après un incident impliquant l’écosystème de Google. En août, l’un des groupes liés au collectif a exploité une faille chez Salesforce, prestataire externe de Google, pour accéder à des données de contacts professionnels. Les systèmes centraux de l’entreprise n’ont pas été compromis, mais l’événement a permis aux attaquants de récupérer des informations exploitables pour des campagnes de phishing et de vishing à grande échelle.

Face à ce risque accru, Google a diffusé une recommandation mondiale de réinitialisation de mots de passe, visant ses 2,5 milliards d’utilisateurs Gmail. Ce geste illustre la sensibilité de la menace, même lorsque la compromission ne touche pas directement les infrastructures internes. Les cybercriminels misent sur ces brèches périphériques pour multiplier les angles d’attaque.

À ce stade, Google n’a publié aucun communiqué officiel en réponse à l’ultimatum des Scattered LapSus Hunters. L’entreprise semble attendre d’éventuelles preuves tangibles avant d’ajuster sa posture publique. Complyer à une exigence visant des employés serait inédit et risquerait de créer un précédent dangereux, incitant d’autres groupes à recourir à l’extorsion ciblée.

Cette situation constitue un test pour les grandes entreprises technologiques. Elles doivent arbitrer entre discrétion stratégique, communication transparente envers leurs utilisateurs et protection de leurs équipes de renseignement. Si les pirates publient un jour des preuves crédibles d’intrusion, Google sera contraint d’activer ses protocoles de divulgation et de confinement. En attendant, l’épisode illustre la montée en puissance des tactiques de pression psychologique sur les défenseurs, autant que sur les infrastructures techniques.