Plusieurs agences fédérales américaines ont publié un avertissement commun concernant Medusa, une cybermenace de type « ransomware-as-a-service » (RaaS) qui a été identifiée pour la première fois en juin 2021.
RaaS est un modèle commercial qui permet aux développeurs de vendre des outils de ransomware à des tiers qui lanceront ensuite des attaques sur des cibles.
Les industries ciblées par Medusa couvrent les secteurs de la technologie, de la médecine, de l’assurance, de la fabrication, du droit et de l’éducation.
« En février 2025, les développeurs de Medusa et leurs affiliés avaient touché plus de 300 victimes issues de divers secteurs d’infrastructures critiques », indique l’avertissement publié le 12 mars par l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) des États-Unis.
Medusa
L’avertissement précise que les acteurs de Medusa – développeurs et affiliés qui utilisent le service – déploient un « double modèle d’extorsion, où les victimes doivent payer pour décrypter les fichiers et empêcher toute nouvelle divulgation » des données volées.
« La demande de rançon exige que les victimes prennent contact dans les 48 heures, soit via un chat en direct sur le navigateur Tor, soit via Tox, une plateforme de messagerie instantanée cryptée de bout en bout. »
« Si la victime ne répond pas à la demande de rançon, les acteurs de Medusa la contacteront directement par téléphone ou par courrier électronique », ont indiqué les agences.
L’avertissement commun a été publié par la CISA, le FBI et le Centre d’analyse et de partage de l’information de plusieurs États afin de diffuser les tactiques connues, les procédures et d’autres informations utiles relatives à Medusa.
Medusa gère un site web sur les fuites de données qui donne des informations sur les victimes et le temps qu’il leur reste pour payer la rançon, avec des liens vers des portefeuilles de cryptomonnaie.
Alors que le compte à rebours est en cours, Medusa met également en vente les données volées à quiconque souhaite les acheter. Pour prolonger le compte à rebours d’une journée, les victimes doivent généralement payer 10.000 dollars (environ 9188 euros) en cryptomonnaies.
« Les enquêtes du FBI ont révélé qu’après avoir payé la rançon, une victime a été contactée par un autre acteur de Medusa qui a prétendu que le négociateur avait volé le montant de la rançon déjà payée. » Cet acteur a ensuite demandé que la moitié du paiement soit à nouveau effectuée pour fournir le ‘vrai décrypteur’ – ce qui pourrait constituer un triple plan d’extorsion », peut-on lire dans l’avertissement.
Comment se protéger de Medusa
Pour se protéger de Medusa, les organisations doivent atténuer les vulnérabilités connues de leurs systèmes, ont conseillé les agences. Il s’agit notamment de mettre à jour les firmwares, les logiciels et les systèmes d’exploitation.
Tous les comptes du réseau qui disposent d’une connexion par mot de passe doivent être tenus de respecter les normes de l’Institut national des normes et de la technologie (National Institute of Standards and Technology).
« En particulier, exigez des employés qu’ils utilisent des mots de passe longs et envisagez de ne pas leur imposer des changements de mot de passe fréquents, sous peine d’affaiblir la sécurité », ont conseillé les agences.
Selon un rapport publié le 25 février par la société de cybersécurité Barracuda, Medusa opère potentiellement depuis la Russie ou un État allié, étant donné que le groupe est actif sur les forums de cybercriminalité russes et que ses membres utilisent l’argot de la sous-culture criminelle russe dans leurs conversations.
La plupart des victimes du groupe sont originaires des États-Unis, du Canada, de France, du Royaume-Uni, d’Australie et d’Italie.
Rien ne prouve que Medusa soit une émanation ou une refonte d’un groupe antérieur. Medusa semble fonctionner de manière indépendante, avec sa propre infrastructure, a déclaré Barracuda.
L’avertissement commun fait partie de l’effort #StopRansomware de la CISA et du FBI qui vise à « publier des avertissements pour les défenseurs du réseau qui détaillent les informations de défense du réseau relatives aux différentes variantes de ransomware et aux acteurs de la menace », selon un rapport d’octobre 2023.
Dans le cadre de cette initiative, un avertissement commun sur la menace du ransomware « Ghost » a été publié le mois dernier. Le rapport indique que des acteurs fantômes, localisés en Chine, ont compromis des organisations dans plus de 70 pays.
Ces acteurs utilisent des codes accessibles au public pour exploiter les « vulnérabilités et les expositions courantes » de leurs cibles afin d’accéder à leurs serveurs. Leurs cibles comptent des infrastructures critiques, des réseaux gouvernementaux, des établissements de soins de santé et des entreprises technologiques.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.