MedusaLocker recrute des pentesters pour ses cyberattaques

brève actu

Le groupe MedusaLocker embauche des pentesters pour optimiser ses attaques et augmenter ses profits grâce à une expertise spécialisée.

Le groupe de ransomware MedusaLocker, actif depuis 2019, a récemment annoncé sur son site de fuite de données Tor qu’il était à la recherche de nouveaux testeurs de pénétration, ou pentesters. Ce choix stratégique illustre une tendance croissante dans l’économie des ransomwares, où des groupes criminels structurés opèrent comme des entreprises légitimes, avec des hiérarchies de gestion et des équipes techniques dédiées, pour maximiser leurs profits. Les pentesters, dans ce contexte illégal, sont chargés d’identifier et d’exploiter les vulnérabilités des réseaux cibles afin de faciliter l’accès et la persistance des attaques.

MedusaLocker fonctionne sur un modèle de Ransomware-as-a-Service (RaaS), permettant à des affiliés de louer le ransomware en échange d’une part des profits. Cette approche commerciale permet au groupe de se concentrer sur le recrutement de talents spécialisés, notamment des pentesters, pour optimiser l’efficacité de ses attaques. Contrairement aux entreprises légitimes qui embauchent des spécialistes pour renforcer leur sécurité, les opérateurs de ransomwares visent à maximiser le profit en identifiant les faiblesses des réseaux pour les exploiter. Les pentesters utilisent des outils et techniques similaires à ceux des hackers, tels que les scanners de vulnérabilités, les campagnes de phishing, et les outils de craquage de mots de passe, mais avec l’intention de préparer le terrain pour un déploiement efficace du ransomware.

Selon Security Affairs, l’embauche d’un pentester présente plusieurs avantages pour les acteurs de la menace. Ces professionnels peuvent rapidement identifier les points d’entrée exploitables, réduisant ainsi le temps entre la compromission initiale et le déploiement du ransomware. De plus, leur expertise en sécurité opérationnelle leur permet d’éviter la détection lors de la cartographie du réseau. En identifiant les systèmes critiques et les données sensibles à chiffrer en priorité, les pentesters augmentent le potentiel de demande de rançon. Comme les entreprises légitimes, les gangs de ransomwares, comme MedusaLocker, limitent aussi leur propre exposition en externalisant ces tâches spécialisées.

Sur les forums clandestins, des annonces pour des « red teamers » ou des « spécialistes en pénétration de réseau » apparaissent régulièrement, souvent avec des exigences de compétences spécifiques telles que l’exploitation d’Active Directory et l’escalade de privilèges, essentielles dans les environnements d’entreprise. Comme le souligne Fortra, ces pentesters sont généralement rémunérés à la commission, recevant un pourcentage de chaque rançon réussie, pouvant atteindre des sommes à six chiffres pour une seule mission. MedusaLocker cible spécifiquement les systèmes ESXi, Windows et ARM, et exige un accès direct aux réseaux d’entreprise pour accélérer l’exécution des attaques, soulignant ainsi l’importance de l’expertise des pentesters pour leur stratégie.