Le FBI, l'agence de cybersécurité américaine (CISA) et le Centre d'analyse et de partage d'informations multi-États (MS-ISAC) ont rendu la semaine dernière un avis conjoint sur les techniques, tactiques et procédures – TTP – utilisées par le gang de ransomware Medusa. Repéré pour la première fois en 2021, ce groupe de cybercriminels fonctionne sur un modèle de double-extorsion, qui vise à chiffrer les données volées avant de demander une rançon pour éviter toute divulgation.
Medusa travaille avec des “courtiers” chargés d'obtenir des accès non autorisés
“Medusa est une variante de ransomware-as-a-service (RaaS) identifiée pour la première fois en juin 2021, expliquent le FBI, la CISA, et le MS-ISAC. En février 2025, les développeurs et les affiliés de Medusa avaient touché plus de 300 victimes issues de divers secteurs d'infrastructures critiques, notamment la médecine, l'éducation, le droit, les assurances, la technologie et la construction.”
Pour parvenir à leurs fins, les opérateurs de Medusa font appel à des “courtiers d'accès initial”, soit des cybercriminels spécialisés dans l'obtention d'accès non-autorisés. Ils offrent ensuite à ces affiliés des paiements compris entre 100 et un million de dollars, en leur proposant de travailler exclusivement pour eux. Les agences fédérales notent que ces “courtiers” mènent principalement des campagnes de phishing pour dérober les identifiants de leurs victimes. Ils exploitent aussi des vulnérabilités logicielles non corrigées, en particulier depuis le logiciel d'accès à distance ScreenConnect ou depuis des périphériques Fortinet.
Des logiciels légitimes utilisés pour brouiller les pistes
Après avoir obtenu cet accès initial, les hackers de Medusa utilisent plusieurs logiciels légitimes, comme Advanced IP Scanner et SoftPerfect Network Scanner pour collecter des données sur les utilisateurs, les systèmes et le réseau. Des outils légitimes sont également exploités par Medusa pour effectuer des mouvements latéraux (solutions AnyDesk et ConnectWise, notamment), avant d'avoir recours au logiciel open source de transfert de fichiers Rclone pour exfiltrer les données. Les fichiers sont enfin chiffrés avec la norme AES-256.
“La demande de rançon exige que les victimes prennent contact dans les 48 heures, soit via un chat en direct via le navigateur Tor, soit via Tox, une plateforme de messagerie instantanée chiffrée de bout en bout, notent les services gouvernementaux. Si la victime ne répond pas à la demande de rançon, les acteurs de Medusa la contacteront directement par téléphone ou par e-mail.”
Des attaques par ransomware en hausse de 42% sur un an
Pour prévenir de tels dangers, le FBI, la CISA et le MS-ISAC recommandent plusieurs mesures d'atténuation, comme la mise en place d'un plan de récupération, avec des copies de données dans un emplacement segmenté et sécurisé, ou l'activation de procédures d'authentification multifacteur. Les agences préconisent aussi d'installer des filtres sur le réseau pour bloquer les connexions suspectes, de régulièrement mettre à jour les systèmes d'exploitation et logiciels, ou encore de désactiver les autorisations en ligne de commandes et les ports inutilisés.
D'après un rapport publié par Symantec au début du mois, les attaques de Medusa ont bondi de 42% entre 2023 et 2024. “Les rançons exigées par les attaquants utilisant le ransomware Medusa ont varié entre 100 000 et 15 millions de dollars”, ajoute la société américaine. Toyota Financial Services, filiale de financement du constructeur japonais, figure parmi les victimes les plus connues de Medusa. En France, le groupe de hackers s'en est aussi pris à certaines organisations, comme les mairies de Betton (Bretagne) et de Sartrouville (Île-de-France) à l'été 2023 et à un Ehpad normand deux mois plus tard.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
