Un membre clé de 'Scattered Spider' plaide coupable pour fraude et vol d'identité

Un ressortissant britannique de 24 ans, membre senior du groupe cybercriminel Scattered Spider, a plaidé coupable ce lundi pour conspiration en fraude électronique et vol aggravé d'identité. Tyler Robert Buchanan, connu sous le pseudonyme Tylerb, a reconnu son implication dans une série d'attaques de phishing par SMS durant l'été 2022.

Ces attaques ont permis au groupe de compromettre au moins une douzaine de grandes entreprises technologiques, entraînant le vol de dizaines de millions de dollars en cryptomonnaies auprès d'investisseurs. Buchanan, originaire de Dundee en Écosse, est actuellement détenu aux États-Unis en attendant son procès. Il risque jusqu'à 20 ans de prison.

Un cybercriminel au palmarès impressionnant

Le pseudonyme Tylerb était autrefois affiché sur des classements du milieu cybercriminel anglophone, récompensant les pirates les plus performants. Deux photos publiées par le Daily Mail le 3 mai 2025 montrent Buchanan enfant (à gauche) et adulte, arrêté par les autorités espagnoles dans un aéroport. La mention M S sur ces clichés fait référence à Marks & Spencer, une chaîne britannique victime d'une attaque par ransomware l'année dernière, attribuée à Scattered Spider.

Méthodes d'attaque et cibles majeures

Scattered Spider, groupe anglophone prolifique, est spécialisé dans les attaques par ingénierie sociale. Ses membres se font souvent passer pour des employés ou des sous-traitants pour tromper les services informatiques et obtenir des accès non autorisés. Lors de son plaider coupable, Buchanan a admis avoir conspiré avec d'autres membres pour lancer des dizaines de milliers d'attaques par SMS en 2022.

Parmi les entreprises ciblées figuraient Twilio, LastPass, DoorDash et Mailchimp. Les données volées lors de ces intrusions ont ensuite servi à réaliser des attaques par SIM-swapping, une technique permettant de détourner les numéros de téléphone des victimes pour intercepter leurs communications et leurs codes d'authentification.

Le département de la Justice américain a révélé que Buchanan a admis avoir volé au moins 8 millions de dollars en cryptomonnaies à des victimes individuelles aux États-Unis. Les enquêteurs du FBI ont retracé son implication après avoir découvert que le même identifiant et adresse e-mail avaient été utilisés pour enregistrer de nombreux domaines de phishing.

Enquête et fuite aux conséquences dramatiques

Les autorités ont établi un lien entre Buchanan et les attaques de 2022 après avoir identifié que l'adresse IP utilisée pour accéder au compte du registrar NameCheap correspondait à une adresse louée par Buchanan en Écosse tout au long de l'année 2022.

Selon les informations rapportées par KrebsOnSecurity, Buchanan a fui le Royaume-Uni en février 2023 après qu'un gang cybercriminel rival a fait irruption chez lui, agressé sa mère et menacé de le brûler avec un chalumeau s'il ne livrait pas les clés de son portefeuille de cryptomonnaies. La même année, les enquêteurs britanniques ont saisi un appareil chez Buchanan en Écosse contenant des données volées via phishing SMS ainsi que des phrases de récupération de portefeuilles de cryptomonnaies.

Arrêté en juin 2024 par les autorités espagnoles alors qu'il tentait de prendre un vol pour l'Italie, Buchanan a été extradé vers les États-Unis. Son procès est en cours.