💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Le ransomware Medusa

La CISA et le FBI sonnent l’alarme face au ransomware Medusa

Le ransomware Medusa, actif depuis 2021, a déjà fait plus de 300 victimes aux États-Unis.

Medusa : le ransomware qui s’attaque aux infrastructures critiques

Depuis son apparition en 2021, le ransomware Medusa s’est imposé comme une menace majeure. Face à une montée en puissance inquiétante des attaques par ransomware, la CISA et le FBI ont tiré la sonnette d’alarme en publiant une alerte de sécurité urgente. Selon leurs investigations, plus de 300 organisations d’infrastructures critiques aux États-Unis ont été ciblées par Medusa, un gang opérant en mode ransomware-as-a-service (RaaS).

Les secteurs vitaux comme la santé, l’éducation, l’assurance et la technologie figurent parmi les victimes, soulignant l’ampleur et la diversité de la menace. L’alerte des autorités vise à sensibiliser les entreprises et les institutions publiques aux tactiques employées par Medusa et à l’urgence d’adopter des mesures de protection robustes pour éviter d’être la prochaine cible. Aucun secteur n’est épargné, et la rapidité d’action est cruciale. Comment fonctionne Medusa ? Quels sont ses impacts ? Et surtout, comment s’en protéger efficacement ?

Un mode opératoire bien huilé

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

Medusa opère en tant que ransomware-as-a-service (RaaS), un modèle qui transforme la cybercriminalité en un véritable écosystème commercial. Plutôt que d’agir comme un groupe unique, Medusa fonctionne comme une franchise : ses développeurs conçoivent et maintiennent le ransomware, tandis que des affiliés indépendants louent son utilisation en échange d’une part des rançons collectées. Ce modèle permet aux cybercriminels, même sans compétences techniques avancées, de mener des attaques sophistiquées. Les affiliés utilisent diverses techniques pour infiltrer les systèmes de leurs victimes, maximisant ainsi leur capacité de nuisance. Parmi elles :

  • Le phishing : les attaquants envoient des e-mails frauduleux incitant les victimes à cliquer sur un lien malveillant ou à télécharger une pièce jointe piégée. L’objectif est de voler leurs identifiants ou d’installer un logiciel malveillant sur leur ordinateur.
  • L’exploitation de vulnérabilités : les cybercriminels profitent de failles de sécurité dans des logiciels ou des équipements pour pénétrer les réseaux d’entreprises. Par exemple, comme mentionné dans l’article de cyberinsider référencé ci-après, la CVE-2024-1709, une faille d’authentification dans l’outil de gestion à distance ScreenConnect, et la CVE-2023-48788, une vulnérabilité d’injection SQL affectant les serveurs Fortinet EMS sont des failles connues qui ont été largement exploitées pour obtenir un accès non autorisé.
  • L’accès initial par des courtiers en accès (IABs) : ces acteurs spécialisés revendent des accès compromis à des cybercriminels. Ils trouvent des failles dans les systèmes informatiques d’entreprises et monétisent ces accès en les revendant aux affiliés de Medusa.

Une fois infiltré, Medusa adopte la stratégie du « living off the land » : il exploite des outils déjà présents sur le système, comme PowerShell ou Windows Command Prompt, pour éviter d’éveiller les soupçons. Il utilise aussi des logiciels légitimes tels qu’AnyDesk ou ConnectWise pour établir un contrôle à distance et se propager latéralement dans l’infrastructure.

un ransomware qui chiffre des données dans un monde numérique

Double extorsion et menaces persistantes

Medusa ne se contente pas de chiffrer les fichiers. Il adopte une approche de double extorsion :

  1. Chiffrement des données : Les fichiers de l’entreprise sont rendus inaccessibles.
  2. Menace de publication : Si la rançon n’est pas payée, les données volées sont publiées sur un site accessible via Tor.

Les victimes disposent souvent de 48 heures pour réagir. Passé ce délai, les attaquants intensifient la pression, allant jusqu’à contacter directement les entreprises par téléphone ou e-mail.

Un cas documenté montre qu’un affilié a prétendu que le négociateur initial avait détourné le paiement de la rançon et a exigé un second versement. Cette variante du « triple extorsion » souligne l’absence de garantie même après un paiement.

Comment se protéger ?

Face à Medusa, la meilleure défense reste une approche proactive. Les recommandations des autorités incluent :

  • Mettre à jour régulièrement les logiciels pour combler les vulnérabilités exploitées par les attaquants.
  • Segmenter les réseaux pour limiter la propagation en cas d’intrusion.
  • Utiliser des solutions de détection avancées capables d’identifier des comportements suspects.
  • Activer l’authentification multifactorielle (MFA) pour compliquer l’accès aux comptes critiques.
  • Sauvegarder régulièrement les données et conserver des copies hors ligne.

Les entreprises doivent aussi sensibiliser leurs employés aux attaques par phishing et surveiller les accès inhabituels à distance.

Une menace toujours active

Malgré les efforts des autorités, Medusa continue de faire des victimes. Sa structure en RaaS lui permet de se réinventer en permanence, rendant la lutte complexe. La coopération entre les entreprises, les chercheurs en cybersécurité et les agences gouvernementales reste essentielle pour limiter son impact.

Les organisations qui suspectent une infection doivent agir rapidement : isoler les systèmes compromis, contacter les autorités et éviter de payer la rançon, car cela ne garantit pas la récupération des données.

Pour en savoir plus

#StopRansomware : le rançongiciel Medusa

Le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et le Multi-State Information Sharing and Analysis Center (MS-ISAC) publient cet avis conjoint pour diffuser les TTP et IOC connus du ransomware Medusa, identifiés par les enquêtes du FBI aussi récemment qu’en février 2025.

Lire la suite sur CISA Alerts
Un hacker devant son ordinateur pour coder des ransomwares

FBI : Le rançongiciel Medusa a piraté 300 infrastructures critiques d’organisations

Le FBI, la CISA et le MS-ISAC ont publié un avis conjoint de cybersécurité avertissant que la variante du rançongiciel en tant que service (RaaS) Medusa a compromis plus de 300 victimes dans des secteurs d’infrastructures critiques, notamment la santé, l’éducation, le droit, les assurances, la technologie et l’industrie manufacturière.

Lire la suite sur Cyber Insider
FBI : Le rançongiciel Medusa a piraté 300 infrastructures critiques d'organisations

(Re)découvrez également:

Black Basta et Medusa : deux ransomwares en pleine expansion en 2025

La montée des ransomwares Black Basta et Medusa en 2025 souligne la professionnalisation du cybercrime avec des attaques massives et sophistiquées.

Lire la suite sur dcod.ch
Black Basta et Medusa : deux ransomwares en pleine expansion en 2025

Ransomwares en 2025: Ce que vous devez savoir sur les tendances

En 2025, les ransomwares devraient devenir plus sophistiqués et ciblés, alimentés par le RaaS et des courtiers d’accès initial.

Lire la suite sur dcod.ch
Ransomwares en 2025: Ce que vous devez savoir sur les tendances

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏