Le ransomware Medusa et son écosystème de cybercriminalité

Selon la mythologie grecque, Méduse était une femme d'une grande beauté jusqu'à ce qu'Athéna la maudisse et la transforme en créature ailée à la tête pleine de serpents. Elle était considérée à la fois comme un « monstre » et une protectrice, en raison de son pouvoir de pétrifier quiconque regardait directement son visage. C'est un personnage fascinant issu d'une histoire bien plus vaste, souvent racontée par bribes.  

Les groupes de ransomware aiment adopter des identités qui les font paraître forts et puissants,  et c'était peut-être l'intention de ce groupe lorsqu'il est apparu sous le nom de ransomware Medusa à la fin 2022.  Le groupe figure parmi les dix principaux acteurs impliqués dans les attaques par ransomware depuis 2023, revendiquant des victimes très médiatisés telles que Toyota Financial Services et le Minneapolis Public School District. Je doute que quiconque attribue cette ascension au sommet du monde criminel du ransomware au nom Medusa, mais il est indéniable que les cybercriminels aiment utiliser ce nom.

Confusion autour de Medusa

Il y a trois autres menaces actives et sans lien qui utilisent le nom Medusa dans leurs marques. Ces menaces peuvent apparaître dans vos résultats si vous effectuez des recherches sur le ransomware Medusa.

• Medusa Android Banking Trojan : ce malware a été observé pour la première fois en 2020. La version actuelle est proposée via un modèle de malware en tant que service (MaaS) et cible les modèles de téléphones plus récents. Il peut voler des données, faire des captures d'écran et déployer d'autres malware sur l'appareil des victimes.  
• Medusa Botnet : il s'agit d'une ancienne souche de malware, apparue sur le darknet dès 2015. Cela a changé depuis lors, et il s'agit maintenant d'un botnet par déni de service distribué (DDoS) fondé sur le code Mirai divulgué. Ce malware possède également une fonction de ransomware appelée « Medusa Stealer », qui semble avoir un bogue dans le code qui en fait un wiper plutôt qu'un ransomware.
• Le ransomware MedusaLocker : il a été observé pour la première fois en 2019, mais reste une menace moins connue que Medusa. Les deux menaces de ransomware sont parfois confondues dans les médias, ce qui peut entraîner une confusion concernant les tactiques, techniques et procédures (TTP), les indicateurs de compromission (IoC) et d'autres informations.

Il y a aussi Operation Medusa, qui n'est pas un acteur de menace. Medusa était le nom de code de l'interruption du réseau mondial de malwares Snake par les forces de l'ordre en 2023. Cette opération des forces de l'ordre ne ciblait aucune variante du ransomware Medusa.

Qui se cache derrière le ransomware Medusa ?

La localisation exacte et les opérateurs individuels de Medusa sont inconnus, mais les analystes soupçonnent que le groupe opère depuis la Russie ou un État allié. Le groupe est actif sur les forums de cybercriminalité en langue russe et utilise un argot unique aux sous-cultures criminelles russes. Il évite également de cibler les entreprises en Russie et dans les pays de la Communauté des États indépendants (CEI). La majorité des victimes du ransomware Medusa se trouvent aux États-Unis, au Royaume-Uni, au Canada, en Australie, en France et en Italie. Les chercheurs croient que le groupe de ransomware Medusa soutient les intérêts russes, même s'il ne s'agit pas d'un groupe parrainé par l'État.

La motivation principale du groupe de ransomware Medusa semble être l'appât du gain financier. Comme de nombreux groupes, Medusa utilise une stratégie de double extorsion et commence les négociations avec des exigences élevées. Le site de fuite de données du groupe, les liens TOR, les forums et autres ressources clés d'extorsion résident sur le dark web. Ce type de configuration est courant chez les acteurs de la menace.

Ce qui rend Medusa unique ici, c’est son utilisation de l’Internet public, également appelé « clearnet » ou « clear web ». Medusa est liée à une chaîne Telegram publique, à un profil Facebook et à un compte X sous la marque « OSINT Without Borders ». Ces propriétés sont gérées par des opérateurs utilisant les pseudonymes « Robert Vroofdown » et « Robert Enaber ». Il existe également un site Web OSINT Without Borders. 

Ces propriétés publiques visent probablement à exercer plus de pression sur les victimes et à sensibiliser à la menace du ransomware Medusa.

Le groupe responsable du ransomware Medusa semble opérer de manière indépendante avec sa propre infrastructure. Il n'existe aucune preuve que Medusa soit une nouvelle marque ou une filiale d'un autre groupe, et il n'y a aucun rapport de similitudes de code avec d'autres menaces. Cependant, les experts ont déterminé que le groupe de cybercriminalité organisé « Frozen Spider » était un acteur clé dans l'opération de ransomware Medusa. Frozen Spider collabore avec d'autres acteurs de la menace et fait partie de l'écosystème plus large de la cybercriminalité en tant que service (CCaaS).

Chaîne d'attaque Medusa

Medusa s'appuie fortement sur les courtiers d'accès initial (IAB) pour accélérer ses attaques. Un IAB est spécialisé dans le credential stuffing, les attaques par force brute, l'hameçonnage et toute autre attaque qui lui permettra d'accéder au réseau d'une entreprise. L'accès initial est tout ce qu'ils désirent, car les IAB tirent leurs revenus en vendant ces informations à d'autres menaces.

Vous pouvez considérer l'IAB comme une partie de la chaîne d'approvisionnement pour d'autres cybercriminels. Les groupes de ransomware tels que Medusa gagnent leur argent en volant et en chiffrant des données, ils préfèrent donc acheter l'accès à un réseau plutôt que de passer du temps à essayer de s'y introduire. La collaboration entre l'IAB et les opérateurs de ransomware est l'un des accélérateurs de cybercriminalité les plus efficaces dans l'environnement moderne des menaces.

Les opérateurs de Medusa mèneront également des campagnes d'hameçonnage et exploiteront les vulnérabilités exposées au public. Les IAB rendent les opérations de ransomware plus efficaces, mais Medusa et d'autres opérateurs de menaces mèneront leurs propres attaques d'intrusion si nécessaire.

Une fois à l’intérieur du système, Medusa tentera d’étendre son empreinte en se déplaçant latéralement et en élevant les privilèges. Il initiera également des techniques de credential dumping du système d'exploitation pour collecter davantage d'identifiants au sein du réseau.  Ces techniques ne sont que des méthodes différentes conçues pour voler des informations d'identification à partir de fonctions légitimes du système d'exploitation (OS).  Nous approfondirons le sujet dans un futur article.

Medusa va analyser le réseau, à la recherche de systèmes exploitables et d'autres ressources auxquelles on pourrait accéder avec les identifiants volés.  C'est un bon exemple de la raison pour laquelle vous devriez appliquer le principe du moindre privilège (PoLP), et garder vos systèmes internes à jour et sécurisés même s'ils ne sont pas exposés à l'internet public. Et n'oubliez pas que la prise en charge de Windows 10 prend fin en octobre 2025, vous devrez donc mettre à niveau, remplacer ou acheter une assistance étendue pour ces machines. 

Medusa utilise PowerShell et d'autres outils pour désactiver les défenses, explorer le réseau et élever ses privilèges. Il se prépare à l'exfiltration de données en lançant son binaire de ransomware, gaze.exe. Cela charge les processus qui créent l'environnement pour l'exfiltration, bien que le transfert réel des données soit géré par des scripts PowerShell et des outils de support. Medusa utilise les canaux sécurisés TOR pour copier les données de la victime et annoncer l'attaque sur son site de fuite sur le dark web, Medusa Blog. 

Le processus de chiffrement Medusa ajoute l'extension .MEDUSA à chacun des fichiers concernés et crée une demande de rançon dans chaque dossier contenant des fichiers chiffrés. La demande de rançon est nommée !!!READ_ME_MEDUSA!!!.txt et inclut les instructions et avertissements classique sur les communications et le paiement, ainsi qu'un identifiant unique pour la victime. Elle contient également les avertissements classique en cas de non-respect de ces consignes. 

Défendez-vous

Presque toutes les menaces avancées reposent sur les erreurs d’un individu. Voici quelques bonnes pratiques à suivre individuellement :

• Utilisez des mots de passe forts et uniques pour tous les comptes et activez l'authentification multifactorielle (MFA) partout où cela est possible. Cela ajoute un niveau de sécurité supplémentaire, garantissant que même si vos identifiants sont volés, les pirates ne peuvent pas facilement accéder à vos comptes sans le facteur d'authentification supplémentaire.
• Mettez régulièrement à jour votre système d'exploitation, vos applications et votre logiciel antivirus sur vos appareils personnels. De nombreux appareils sont infectés par des malware qui volent les identifiants et d'autres informations. Ces données volées peuvent être exploitées pour le credential stuffing et d’autres attaques d’accès initial.
• Évitez de cliquer sur des liens suspects ou de télécharger des pièces jointes provenant de sources inconnues. L'exécution accidentelle d'un fichier malveillant peut permettre l'installation de logiciels voleurs d'informations et d'autres malware susceptibles d'endommager votre appareil. Il peut également s'étendre à d'autres appareils de votre réseau domestique.

La protection de votre entreprise nécessite ces bonnes pratiques et bien plus encore :

• Assurez-vous que tous les systèmes d'exploitation, les applications et les firmwares sont mis à jour vers les versions les plus récentes pour corriger les vulnérabilités exploitées par les ransomwares. Prévoyez la fin de la prise en charge de Windows 10 (14 octobre 2025).
• Utilisez une solution de backup fiable qui offre des backups immuables ne pouvant pas être modifiées par un ransomware. Assurez-vous que les backups sont répliquées et stockez au moins une copie hors réseau. 
• Appliquez le principe du moindre privilège en limitant l'accès administratif uniquement à ceux qui en ont absolument besoin. Utilisez des contrôles d'accès basés sur les rôles pour réduire l'exposition. Désactivez les outils d’accès à distance inutilisés ou sécurisez-les avec des mots de passe forts et une authentification multifacteur. 
• Utilisez la protection des points de terminaison alimentée par l'IA pour surveiller les activités suspectes et répondre aux attaques. Barracuda Managed XDR offre une veille avancée sur les menaces et une réponse automatisée aux incidents qui permettront d'identifier et d'atténuer les attaques pendant que les équipes de l'entreprise travaillent à la reprise des activités.
• Créez un plan de réponse aux incidents détaillé qui inclut l'isolement des systèmes infectés, la communication sécurisée pendant une attaque, et la restauration des opérations à partir des backups. Testez ce plan régulièrement et remédiez à toute lacune. 
• Déployez un système de protection des e-mails performant, optimisé par l'IA, qui inclut les protocoles SPF, DMARC et DKIM. Organisez régulièrement des programmes de formation pour apprendre aux employés à reconnaître les emails d'hameçonnage, à éviter les liens suspects et à signaler immédiatement les menaces potentielles. 
• Utilisez la segmentation du réseau pour isoler les systèmes et les données critiques des zones moins sécurisées. Cela ralentira et pourrait empêcher les mouvements latéraux à travers le réseau, ce dont un acteur malveillant a besoin pour exécuter toute la chaîne d'attaque. Medusa donnera la priorité à l'exfiltration des données sensibles, rendant ainsi leur localisation difficile et chronophage.
• Exigez la MFA pour tous les comptes et systèmes de l'entreprise. Il s'agit d'une procédure de base qui ajoute un niveau supplémentaire de sécurité contre tout accès non autorisé.

Vous pouvez compter sur Barracuda

La plateforme complète de cybersécurité proposée par Barracuda protège les organisations contre les principaux vecteurs d'attaque qui prévalent dans les menaces complexes d'aujourd'hui. Rentables, riches en fonctionnalités et complètes, les solutions proposées par Barracuda protègent votre entreprise contre un large éventail de menaces et s’accompagnent d’un service client exceptionnel. Travailler avec un seul fournisseur permet de réduire la complexité, d'accroître l'efficacité et de diminuer le coût total de possession. Plus de 200 000 clients dans le monde entier font confiance à Barracuda pour protéger leurs e-mails, leurs réseaux, leurs applications et leurs données.