Sartrouville, Betton, Toyota, ces noms ont un point commun, ils ont été frappés par le groupe de ransomware Medusa. Ses activités ne faiblissent pas selon un rapport publié par Unit42 de Palo Alto Networks. Les experts ont découvert un blog du gang proposant de multiples solutions de paiement aux victimes. Le blog sert également à publier des données volées au cas où la victime refuse de payer la rançon.  Sur le site « onion », auquel on peut accéder via le réseau Tor, la victime peut voir le « compte à rebours » avant la date d’exposition publique des données et de leur disponibilité en téléchargement, un tarif pour leur suppression et un tarif pour retarder leur divulgation (10 000 dollars).

En plus du blog, le groupe a créé un canal Telegram public appelé « Information support », plus facilement accessible que les sites traditionnels sur le Dark Web, où il expose les fichiers volés à des entreprises compromises. « L'an dernier, un nombre important de vulnérabilités très graves, accessibles sur Internet, ont pu être exploitées par les groupes de ransomwares », a déclaré Anthony Galiette, ingénieur spécialisé en rétro-ingénierie de l’Unit42. « Nous pensons que ces vulnérabilités critiques ont contribué à l'augmentation de l'activité de Medusa ces derniers mois », a-t-il ajouté.

Aucun code d'éthique

Il y a peut-être une autre raison qui explique l'activité accrue de Medusa. « Le groupe, qui a eu beaucoup de succès ces derniers temps, s’est spécifiquement concentré sur le secteur de la santé », a fait remarquer Darren Williams, CEO et fondateur de BlackFog, une entreprise spécialisée dans la sécurité des endpoint. « C’est probablement ce qui a contribué à leur succès, car le secteur de la santé est à la fois riche en données, mais en retard en termes de pratiques de cybersécurité et d'investissements, et qu'il utilise encore beaucoup de matériel et de logiciels anciens », a-t-il ajouté.

« Si les capacités techniques varient d'un groupe de ransomware à l'autre, Medusa est l'un des rares à utiliser des outils comme NetScan pour préparer et déployer des ransomwares », a déclaré pour sa part Doel Santos, chercheur principal en menaces de l’Unit42, à propos du gang Medusa, ajoutant que, contrairement à ce que prétendent certains groupes, Medusa n'a pas de code d'éthique. « Tout au long de l'année 2023, le groupe a compromis plusieurs académies scolaires et exposé des informations très sensibles sur les élèves », a indiqué l’expert.

Des courtiers d'accès initial pour accéder au réseau

Medusa se distingue également par le fait qu’il dispose de sa propre équipe chargée des médias et de l'image de marque, qu'il se concentre sur l'exploitation des vulnérabilités orientées vers Internet et qu'il utilise des courtiers d'accès initial (Initial Access Brokers, IAB) pour accéder aux systèmes. « Les courtiers d'accès initial offrent aux acteurs de la menace d'accéder à la porte d'entrée d'une entreprise », a expliqué Anthony Galiette. « Malgré le coût que cela représente, l'utilisation de ces courtiers par des groupes s'est avérée très lucrative dans le passé », a-t-il encore déclaré.

« Dans l'ensemble, nous constatons que les groupes de ransomwares les plus actifs ou les plus avancés utilisent des courtiers d'accès initiaux. Les groupes de ransomwares plus petits ou émergents n'ont pas nécessairement le capital nécessaire pour utiliser les IAB de la même manière », a ajouté Anthony Galiette. Le groupe pratique également le double rançonnage. « L'utilisation d'une double rançon est une autre caractéristique de Medusa, qui utilise une rançon pour décrypter les parties cryptées d'un environnement et une rançon distincte pour éviter la fuite des données volées aux victimes sur Internet », a expliqué Steve Stone, directeur de Rubrik Zero Labs, l'unité de recherche en cybersécurité du spécialiste de la sauvegarde cloud.

Le ciblage indiscriminé, une menace universelle des acteurs du ransomware

« L'émergence de Medusa à la fin de 2022 et sa notoriété en 2023 marquent une évolution significative dans le paysage des ransomwares », indique encore le rapport de Unit42. Cette opération met en évidence des méthodes de propagation complexes, tirant parti à la fois des vulnérabilités du système et des courtiers d'accès initiaux, tout en évitant habilement la détection grâce à des techniques de persistance. « Le blog de Medusa témoigne d'une évolution tactique vers l'extorsion multiple, le groupe employant des moyens de pression transparents sur les victimes par le biais de demandes de rançon rendues publiques en ligne ». À ce jour, 74 entreprises de secteurs très divers ont été touchées.

Ce ciblage aveugle de Medusa souligne la menace universelle que représente ces groupes de cybercriminels. « Comme le montrent les statistiques, le problème ne fait pas que s'aggraver, il s'accélère à un rythme de plus en plus difficile à suivre pour les entreprises », a ajouté M. Williams. « Il faut aussi reconnaître que la révolution de l'IA joue un rôle dans cette tendance, car, comme on peut le voir, les acteurs de la menace entraînent désormais leurs systèmes sur les vulnérabilités, les produits et les personnes », a-t-il ajouté. « Même si les entreprises de cybersécurité utilisent également l'IA pour la prévention, dans ce jeu du chat et de la souris, les entreprises n'adoptent pas ces nouvelles technologies assez rapidement, ou pas du tout, pour disposer de la protection adéquate ».