Le groupe SLSH (Scattered Lapsus$ + Shiny Hunters), déjà responsable de nombreuses fuites massives de données, change de stratégie : il ne cherche plus à forcer les accès… il les achète.
🎯 Objectif : infiltrer les entreprises par l’intérieur
Les membres du groupe annoncent ouvertement leur volonté de payer des employés pour obtenir :
- Des comptes AD ou sessions RDP valides (jusqu’à 25 % de commission)
- Des accès root sur des services cloud (Okta, Azure, AWS)
- Des connexions VPN, Citrix ou AnyDesk exploitables par leurs affiliés ransomware
Les pays ciblés : États-Unis, Royaume-Uni, Australie, Canada et France.
🔓 Pourquoi c’est une menace majeure ?
Un insider motivé, même sans compétences techniques, peut :
- Ouvrir une porte directe à un groupe d’attaquants
- Faciliter la prise d’otages numériques (ransomware)
- Mettre en péril toute une supply chain
🎯 Un seul accès interne non surveillé = compromission complète de l’infrastructure.
🔐 Que faire maintenant ?
Voici les mesures prioritaires à mettre en place :
- Activer le MFA sur tous les accès sensibles (SSO, VPN, cloud)
- Auditer et cloisonner les accès internes
- Changer les secrets partagés, tokens et mots de passe d’équipe
- Former vos collaborateurs sur les risques d’ingénierie sociale et les techniques de recrutement cybercriminel
- Mettre en place une surveillance comportementale (UEBA, EDR, alertes sur accès anormaux)
⚠️ La cybersécurité ne dépend plus seulement de la technique.
Elle dépend de l’humain. Et aujourd’hui, certains sont prêts à le monnayer.
Anticipez. Cloisonnez. Sensibilisez.
