DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Gros plan sur un clavier d'ordinateur avec une touche sécurisée « cyber security » sous un bandeau vert #CYBERASSURANCE, évoquant la réaction ultra-rapide des entreprises face aux cybermenaces dopées par l'IA. Logo dcod.ch.`
    Cyberassurance : l’IA impose une réaction ultra-rapide
  • Visuel d'annonce où la Trust Valley intègre Adnovum comme nouveau partenaire contributeur pour stimuler l'innovation. Les logos de Trust Valley et d'Adnovum s'affichent sur un arrière-plan des vignobles de Lavaux et du lac Léman avec le logo dcod.ch.
    La Trust Valley intègre Adnovum pour stimuler l’innovation
  • Illustration 3D pour la veille sur les vulnérabilités : un cadenas métallique ouvert est posé sur un circuit imprimé complexe. De vifs flux lumineux oranges et des triangles d'alerte rouges clignotants émanent du cadenas, symbolisant des failles de sécurité actives et des brèches dans un système informatique.
    Vulnérabilités : les 13 alertes critiques du 13 juillet 2026
  • Un ordinateur portable ouvert affichant différents jeux de la plateforme Roblox, illustrant une enquête sur les méthodes par lesquelles des pirates s'emparent de créations entières et de leurs revenus.
    Roblox : des pirates s’emparent maintenant de créations entières
  • Illustration conceptuelle de cybersécurité montrant un bouclier numérique vert lumineux avec une serrure centrale, sur fond sombre de réseaux de données, de circuits imprimés et une silhouette de hacker dans l'ombre. Image d'en-tête pour la veille hebdomadaire.
    Cybersécurité : les 11 actualités majeures du 12 juillet 2026
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cyber-attaques / fraudes
  • À la une
  • Cybercrime

La CISA et le FBI sonnent l’alarme face au ransomware Medusa

  • Marc Barbezat
  • 20 mars 2025
  • 4 minutes de lecture
Le ransomware Medusa
▾ Sommaire
Un mode opératoire bien huiléDouble extorsion et menaces persistantesComment se protéger ?Une menace toujours activePour en savoir plus(Re)découvrez également:
Le ransomware Medusa, actif depuis 2021, a déjà fait plus de 300 victimes aux États-Unis.

Medusa : le ransomware qui s’attaque aux infrastructures critiques

Depuis son apparition en 2021, le ransomware Medusa s’est imposé comme une menace majeure. Face à une montée en puissance inquiétante des attaques par ransomware, la CISA et le FBI ont tiré la sonnette d’alarme en publiant une alerte de sécurité urgente. Selon leurs investigations, plus de 300 organisations d’infrastructures critiques aux États-Unis ont été ciblées par Medusa, un gang opérant en mode ransomware-as-a-service (RaaS).

Les secteurs vitaux comme la santé, l’éducation, l’assurance et la technologie figurent parmi les victimes, soulignant l’ampleur et la diversité de la menace. L’alerte des autorités vise à sensibiliser les entreprises et les institutions publiques aux tactiques employées par Medusa et à l’urgence d’adopter des mesures de protection robustes pour éviter d’être la prochaine cible. Aucun secteur n’est épargné, et la rapidité d’action est cruciale. Comment fonctionne Medusa ? Quels sont ses impacts ? Et surtout, comment s’en protéger efficacement ?

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Un mode opératoire bien huilé

Medusa opère en tant que ransomware-as-a-service (RaaS), un modèle qui transforme la cybercriminalité en un véritable écosystème commercial. Plutôt que d’agir comme un groupe unique, Medusa fonctionne comme une franchise : ses développeurs conçoivent et maintiennent le ransomware, tandis que des affiliés indépendants louent son utilisation en échange d’une part des rançons collectées. Ce modèle permet aux cybercriminels, même sans compétences techniques avancées, de mener des attaques sophistiquées. Les affiliés utilisent diverses techniques pour infiltrer les systèmes de leurs victimes, maximisant ainsi leur capacité de nuisance. Parmi elles :

  • Le phishing : les attaquants envoient des e-mails frauduleux incitant les victimes à cliquer sur un lien malveillant ou à télécharger une pièce jointe piégée. L’objectif est de voler leurs identifiants ou d’installer un logiciel malveillant sur leur ordinateur.
  • L’exploitation de vulnérabilités : les cybercriminels profitent de failles de sécurité dans des logiciels ou des équipements pour pénétrer les réseaux d’entreprises. Par exemple, comme mentionné dans l’article de cyberinsider référencé ci-après, la CVE-2024-1709, une faille d’authentification dans l’outil de gestion à distance ScreenConnect, et la CVE-2023-48788, une vulnérabilité d’injection SQL affectant les serveurs Fortinet EMS sont des failles connues qui ont été largement exploitées pour obtenir un accès non autorisé.
  • L’accès initial par des courtiers en accès (IABs) : ces acteurs spécialisés revendent des accès compromis à des cybercriminels. Ils trouvent des failles dans les systèmes informatiques d’entreprises et monétisent ces accès en les revendant aux affiliés de Medusa.

Une fois infiltré, Medusa adopte la stratégie du « living off the land » : il exploite des outils déjà présents sur le système, comme PowerShell ou Windows Command Prompt, pour éviter d’éveiller les soupçons. Il utilise aussi des logiciels légitimes tels qu’AnyDesk ou ConnectWise pour établir un contrôle à distance et se propager latéralement dans l’infrastructure.

un ransomware qui chiffre des données dans un monde numérique

Double extorsion et menaces persistantes

Medusa ne se contente pas de chiffrer les fichiers. Il adopte une approche de double extorsion :

  1. Chiffrement des données : Les fichiers de l’entreprise sont rendus inaccessibles.
  2. Menace de publication : Si la rançon n’est pas payée, les données volées sont publiées sur un site accessible via Tor.

Les victimes disposent souvent de 48 heures pour réagir. Passé ce délai, les attaquants intensifient la pression, allant jusqu’à contacter directement les entreprises par téléphone ou e-mail.

Un cas documenté montre qu’un affilié a prétendu que le négociateur initial avait détourné le paiement de la rançon et a exigé un second versement. Cette variante du « triple extorsion » souligne l’absence de garantie même après un paiement.

Comment se protéger ?

Face à Medusa, la meilleure défense reste une approche proactive. Les recommandations des autorités incluent :

  • Mettre à jour régulièrement les logiciels pour combler les vulnérabilités exploitées par les attaquants.
  • Segmenter les réseaux pour limiter la propagation en cas d’intrusion.
  • Utiliser des solutions de détection avancées capables d’identifier des comportements suspects.
  • Activer l’authentification multifactorielle (MFA) pour compliquer l’accès aux comptes critiques.
  • Sauvegarder régulièrement les données et conserver des copies hors ligne.

Les entreprises doivent aussi sensibiliser leurs employés aux attaques par phishing et surveiller les accès inhabituels à distance.

Une menace toujours active

Malgré les efforts des autorités, Medusa continue de faire des victimes. Sa structure en RaaS lui permet de se réinventer en permanence, rendant la lutte complexe. La coopération entre les entreprises, les chercheurs en cybersécurité et les agences gouvernementales reste essentielle pour limiter son impact.

Les organisations qui suspectent une infection doivent agir rapidement : isoler les systèmes compromis, contacter les autorités et éviter de payer la rançon, car cela ne garantit pas la récupération des données.

Pour en savoir plus

#StopRansomware : le rançongiciel Medusa

Le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et le Multi-State Information Sharing and Analysis Center (MS-ISAC) publient cet avis conjoint pour diffuser les TTP et IOC connus du ransomware Medusa, identifiés par les enquêtes du FBI aussi récemment qu’en février 2025.

Lire la suite sur CISA Alerts
Un hacker devant son ordinateur pour coder des ransomwares

FBI : Le rançongiciel Medusa a piraté 300 infrastructures critiques d’organisations

Le FBI, la CISA et le MS-ISAC ont publié un avis conjoint de cybersécurité avertissant que la variante du rançongiciel en tant que service (RaaS) Medusa a compromis plus de 300 victimes dans des secteurs d’infrastructures critiques, notamment la santé, l’éducation, le droit, les assurances, la technologie et l’industrie manufacturière.

Lire la suite sur Cyber Insider
FBI : Le rançongiciel Medusa a piraté 300 infrastructures critiques d'organisations

(Re)découvrez également:

Black Basta et Medusa : deux ransomwares en pleine expansion en 2025

La montée des ransomwares Black Basta et Medusa en 2025 souligne la professionnalisation du cybercrime avec des attaques massives et sophistiquées.

Lire la suite sur dcod.ch
Black Basta et Medusa : deux ransomwares en pleine expansion en 2025

Ransomwares en 2025: Ce que vous devez savoir sur les tendances

En 2025, les ransomwares devraient devenir plus sophistiqués et ciblés, alimentés par le RaaS et des courtiers d’accès initial.

Lire la suite sur dcod.ch
Ransomwares en 2025: Ce que vous devez savoir sur les tendances

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes
  • Medusa
  • RaaS
  • ransomware
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Un ordinateur portable ouvert affichant différents jeux de la plateforme Roblox, illustrant une enquête sur les méthodes par lesquelles des pirates s'emparent de créations entières et de leurs revenus.
Lire l'article

Roblox : des pirates s’emparent maintenant de créations entières

Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
Lire l'article

Le spyware Pegasus pirate le téléphone d’un enquêteur européen

Photographie d'illustration réaliste de l'intérieur d'un salon luxueux dans une villa américaine, montrant un grand téléviseur mural et un ordinateur portable, tous deux affichant une carte du monde connectée. Des flux de données lumineux relient les appareils et les équipements réseau, symbolisant le réseau de proxys résidentiels NetNut créé à partir de téléviseurs connectés et de boîtiers de streaming compromis. L'arrière-plan montre une piscine extérieure et des palmiers sous la lumière du jour.
Lire l'article

Proxys résidentiels : Google et le FBI coupent le réseau NetNut

Des idées de lecture recommandées par DCOD

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois