Catégories
Le ransomware Medusa

La CISA et le FBI sonnent l’alarme face au ransomware Medusa

Soutenez DCOD ☕ Offrez un café pour cette veille gratuite!
Le ransomware Medusa, actif depuis 2021, a déjà fait plus de 300 victimes aux États-Unis.

Medusa : le ransomware qui s’attaque aux infrastructures critiques

Depuis son apparition en 2021, le ransomware Medusa s’est imposé comme une menace majeure. Face à une montée en puissance inquiétante des attaques par ransomware, la CISA et le FBI ont tiré la sonnette d’alarme en publiant une alerte de sécurité urgente. Selon leurs investigations, plus de 300 organisations d’infrastructures critiques aux États-Unis ont été ciblées par Medusa, un gang opérant en mode ransomware-as-a-service (RaaS).

Les secteurs vitaux comme la santé, l’éducation, l’assurance et la technologie figurent parmi les victimes, soulignant l’ampleur et la diversité de la menace. L’alerte des autorités vise à sensibiliser les entreprises et les institutions publiques aux tactiques employées par Medusa et à l’urgence d’adopter des mesures de protection robustes pour éviter d’être la prochaine cible. Aucun secteur n’est épargné, et la rapidité d’action est cruciale. Comment fonctionne Medusa ? Quels sont ses impacts ? Et surtout, comment s’en protéger efficacement ?

Un mode opératoire bien huilé

Medusa opère en tant que ransomware-as-a-service (RaaS), un modèle qui transforme la cybercriminalité en un véritable écosystème commercial. Plutôt que d’agir comme un groupe unique, Medusa fonctionne comme une franchise : ses développeurs conçoivent et maintiennent le ransomware, tandis que des affiliés indépendants louent son utilisation en échange d’une part des rançons collectées. Ce modèle permet aux cybercriminels, même sans compétences techniques avancées, de mener des attaques sophistiquées. Les affiliés utilisent diverses techniques pour infiltrer les systèmes de leurs victimes, maximisant ainsi leur capacité de nuisance. Parmi elles :

  • Le phishing : les attaquants envoient des e-mails frauduleux incitant les victimes à cliquer sur un lien malveillant ou à télécharger une pièce jointe piégée. L’objectif est de voler leurs identifiants ou d’installer un logiciel malveillant sur leur ordinateur.
  • L’exploitation de vulnérabilités : les cybercriminels profitent de failles de sécurité dans des logiciels ou des équipements pour pénétrer les réseaux d’entreprises. Par exemple, comme mentionné dans l’article de cyberinsider référencé ci-après, la CVE-2024-1709, une faille d’authentification dans l’outil de gestion à distance ScreenConnect, et la CVE-2023-48788, une vulnérabilité d’injection SQL affectant les serveurs Fortinet EMS sont des failles connues qui ont été largement exploitées pour obtenir un accès non autorisé.
  • L’accès initial par des courtiers en accès (IABs) : ces acteurs spécialisés revendent des accès compromis à des cybercriminels. Ils trouvent des failles dans les systèmes informatiques d’entreprises et monétisent ces accès en les revendant aux affiliés de Medusa.

Une fois infiltré, Medusa adopte la stratégie du « living off the land » : il exploite des outils déjà présents sur le système, comme PowerShell ou Windows Command Prompt, pour éviter d’éveiller les soupçons. Il utilise aussi des logiciels légitimes tels qu’AnyDesk ou ConnectWise pour établir un contrôle à distance et se propager latéralement dans l’infrastructure.

un ransomware qui chiffre des données dans un monde numérique

Double extorsion et menaces persistantes

Medusa ne se contente pas de chiffrer les fichiers. Il adopte une approche de double extorsion :

  1. Chiffrement des données : Les fichiers de l’entreprise sont rendus inaccessibles.
  2. Menace de publication : Si la rançon n’est pas payée, les données volées sont publiées sur un site accessible via Tor.

Les victimes disposent souvent de 48 heures pour réagir. Passé ce délai, les attaquants intensifient la pression, allant jusqu’à contacter directement les entreprises par téléphone ou e-mail.

Un cas documenté montre qu’un affilié a prétendu que le négociateur initial avait détourné le paiement de la rançon et a exigé un second versement. Cette variante du « triple extorsion » souligne l’absence de garantie même après un paiement.

Comment se protéger ?

Face à Medusa, la meilleure défense reste une approche proactive. Les recommandations des autorités incluent :

  • Mettre à jour régulièrement les logiciels pour combler les vulnérabilités exploitées par les attaquants.
  • Segmenter les réseaux pour limiter la propagation en cas d’intrusion.
  • Utiliser des solutions de détection avancées capables d’identifier des comportements suspects.
  • Activer l’authentification multifactorielle (MFA) pour compliquer l’accès aux comptes critiques.
  • Sauvegarder régulièrement les données et conserver des copies hors ligne.

Les entreprises doivent aussi sensibiliser leurs employés aux attaques par phishing et surveiller les accès inhabituels à distance.

Une menace toujours active

Malgré les efforts des autorités, Medusa continue de faire des victimes. Sa structure en RaaS lui permet de se réinventer en permanence, rendant la lutte complexe. La coopération entre les entreprises, les chercheurs en cybersécurité et les agences gouvernementales reste essentielle pour limiter son impact.

Les organisations qui suspectent une infection doivent agir rapidement : isoler les systèmes compromis, contacter les autorités et éviter de payer la rançon, car cela ne garantit pas la récupération des données.

Pour en savoir plus

#StopRansomware : le rançongiciel Medusa

Le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et le Multi-State Information Sharing and Analysis Center (MS-ISAC) publient cet avis conjoint pour diffuser les TTP et IOC connus du ransomware Medusa, identifiés par les enquêtes du FBI aussi récemment qu’en février 2025.

Lire la suite sur CISA Alerts
Un hacker devant son ordinateur pour coder des ransomwares

FBI : Le rançongiciel Medusa a piraté 300 infrastructures critiques d’organisations

Le FBI, la CISA et le MS-ISAC ont publié un avis conjoint de cybersécurité avertissant que la variante du rançongiciel en tant que service (RaaS) Medusa a compromis plus de 300 victimes dans des secteurs d’infrastructures critiques, notamment la santé, l’éducation, le droit, les assurances, la technologie et l’industrie manufacturière.

Lire la suite sur Cyber Insider
FBI : Le rançongiciel Medusa a piraté 300 infrastructures critiques d'organisations

(Re)découvrez également:

Black Basta et Medusa : deux ransomwares en pleine expansion en 2025

La montée des ransomwares Black Basta et Medusa en 2025 souligne la professionnalisation du cybercrime avec des attaques massives et sophistiquées.

Lire la suite sur dcod.ch
Black Basta et Medusa : deux ransomwares en pleine expansion en 2025

Ransomwares en 2025: Ce que vous devez savoir sur les tendances

En 2025, les ransomwares devraient devenir plus sophistiqués et ciblés, alimentés par le RaaS et des courtiers d’accès initial.

Lire la suite sur dcod.ch
Ransomwares en 2025: Ce que vous devez savoir sur les tendances
Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking

Sécurité informatique - Ethical Hacking : Apprendre l'attaque pour mieux se défendre

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

Cyberattaques: Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.