CISA affirme que l’opération de rançongiciel Medusa a eu un impact sur plus de 300 organisations dans les secteurs des infrastructures critiques aux États-Unis jusqu’au mois dernier.
Cela a été révélé dans un avis conjoint publié aujourd’hui en coordination avec le Federal Bureau of Investigation (FBI) et le Multi-State Information Sharing and Analysis Center (MS-ISAC).
« En février 2025, les développeurs et affiliés de Medusa avaient touché plus de 300 victimes de divers secteurs d’infrastructures critiques avec des industries touchées, notamment la médecine, l’éducation, le droit, les assurances, la technologie et la fabrication », ont averti mercredi CISA, le FBI et MS-ISAC.
« Le FBI, la CISA et le MS-ISAC encouragent les organisations à mettre en œuvre les recommandations de la section Atténuations de cet avis afin de réduire la probabilité et l’impact des incidents de ransomware Medusa. »
Le ransomware Medusa est apparu il y a près de quatre ans, en janvier 2021, mais l’activité du gang n’a repris que deux ans plus tard, en 2023, lorsqu’il a lancé le site de fuite du blog Medusa pour faire pression sur les victimes pour qu’elles paient des rançons en utilisant des données volées comme levier.
Depuis son apparition, le gang a fait plus de 400 victimes dans le monde et a attiré l’attention des médias en mars 2023 après avoir revendiqué la responsabilité d’une attaque contre le district des écoles publiques de Minneapolis (MPS) et partagé une vidéo des données volées.
Le groupe a également divulgué des fichiers prétendument volés à Toyota Financial Services, une filiale de Toyota Motor Corporation, sur son portail d’extorsion sombre en novembre 2023 après que la société a refusé de payer une demande de rançon de 8 millions de dollars et a informé les clients d’une violation de données.
Medusa a d’abord été présenté comme une variante fermée de ransomware, où un seul groupe d’acteurs de la menace gérait tout le développement et les opérations. Bien que Medusa soit depuis devenu une opération de Ransomware en tant que service (RaaS) et ait adopté un modèle d’affiliation, ses développeurs continuent de superviser les opérations essentielles, y compris les négociations de rançon.
Comme l’explique l’avis, pour se défendre contre les attaques de ransomware Medusa, il est conseillé aux défenseurs de prendre les mesures suivantes:
- Atténuez les vulnérabilités de sécurité connues pour garantir que les systèmes d’exploitation, les logiciels et les micrologiciels sont corrigés dans un délai raisonnable.
- Segmentez les réseaux pour limiter les mouvements latéraux entre les appareils infectés et les autres appareils au sein de l’organisation.
- Filtrez le trafic réseau en bloquant l’accès des origines inconnues ou non fiables aux services distants sur les systèmes internes.
Il est également important de noter que plusieurs familles de logiciels malveillants et opérations de cybercriminalité s’appellent Medusa, y compris un botnet basé sur Mirai avec des capacités de ransomware et une opération MAAS (malware-as-a-service) Android découverte en 2020 (également connue sous le nom de TangleBot).
En raison de ce nom couramment utilisé, il y a également eu des rapports confus sur le ransomware Medusa, beaucoup pensant que c’est la même chose que l’opération de ransomware MedusaLocker largement connue, bien qu’il s’agisse d’opérations entièrement différentes.
Le mois dernier, la CISA et le FBI ont publié une autre alerte conjointe avertissant que des victimes de multiples secteurs industriels dans plus de 70 pays, y compris des infrastructures critiques, ont été violées dans des attaques fantômes de ransomware.