De nombreux experts cyber, outre le FBI, alertent sur Medusa, un ransomware sophistiqué qui cible activement les messageries électroniques Gmail et Outlook, et qui a déjà fait des centaines de victimes dans ses secteurs critiques.
Le FBI, la CISA (l'agence cyber américaine) et le MS-ISAC (le Centre de partage et d'analyse d'informations multi-États) ont lancé l'alerte il y a quelques jours concernant Medusa, une menace ransomware hélas bien installée. Ce logiciel malveillant, qui opère selon un modèle de double extorsion, a été identifié pour la première fois en juin 2021. Il chiffre les données des victimes tout en menaçant de les publier si une rançon n'est pas payée.
Medusa est, selon les autorités cyber américaines, actif dans les secteurs médicaux, éducatifs et technologiques partout dans le monde. Le rançongiciel a développé des techniques d'infiltration sophistiquées ciblant notamment les services de messagerie populaires.
Phishing et vulnérabilités : les portes d'entrée du ransomware Medusa
Une fois que l'utilisateur clique ou télécharge ces éléments, le malware s'installe silencieusement sur l'appareil, ce qui donne aux attaquants un premier point d'entrée dans le réseau.
Les cybercriminels ne travaillent pas au hasard. Les opérateurs de Medusa recrutent d'ailleurs activement des courtiers d'accès initial sur des forums et marchés cybercriminels, en proposant entre 100 et… 1 million de dollars pour obtenir un accès aux réseaux des organisations ciblées. Leurs principales méthodes d'infiltration visent à voler des identifiants et à exploiter des vulnérabilités logicielles non corrigées, comme celles de ScreenConnect (CVE-2024-1709) et Fortinet EMS (CVE-2023-48788).
Une fois l'accès initial obtenu, les acteurs de Medusa utilisent des outils légitimes comme Advanced IP Scanner et SoftPerfect Network Scanner pour l'énumération du réseau et des systèmes. Ils exploitent PowerShell et Windows Command Prompt pour naviguer dans le réseau et explorer les systèmes de fichiers. Cette technique dite « living off the land » rend leur détection particulièrement difficile, car elle se confond avec des activités informatiques légitimes.
Pour se déplacer latéralement dans le réseau, les cybercriminels utilisent divers logiciels d'accès à distance légitimes (AnyDesk, ConnectWise, etc.) en combinaison avec RDP et PsExec. Ils installent ensuite Rclone pour exfiltrer les données vers leurs serveurs C2, avant de déployer leur chiffreur « gaze.exe », qui par définition chiffre les fichiers avec AES-256 et ajoute l'extension « .medusa ».
Il est possible de contenir le ransomware Medusa
Les autorités recommandent plusieurs mesures de sécurité essentielles pour essayer de maîtriser cette menace. On commence évidemment par la mise à jour régulière des systèmes d'exploitation, des logiciels et des micrologiciels, qui doit demeurer une priorité, en particulier pour les vulnérabilités connues et exploitées. Il est également crucial de segmenter les réseaux pour limiter les mouvements latéraux et contenir une éventuelle infection.
L'authentification à multiples facteurs doit être déployée pour tous les services, particulièrement pour les messageries web, les VPN et les comptes qui accèdent aux systèmes critiques. Les experts recommandent de mettre en place des filtres sur votre réseau informatique qui bloqueront automatiquement les connexions provenant de sources inconnues ou suspectes. Ces filtres empêcheront ces sources externes non vérifiées d'accéder directement à vos services internes.
De plus, pour tout accès à distance à votre réseau (comme lorsque vos employés travaillent de chez eux), il est conseillé d'utiliser exclusivement des connexions VPN sécurisées ou des « hôtes de saut » (des serveurs intermédiaires spécialement configurés) qui servent de point de contrôle supplémentaire avant d'autoriser l'accès à vos systèmes.
Si votre organisation est touchée, ne cédez pas immédiatement à la demande de rançon. Les autorités déconseillent toujours formellement le paiement, qui non seulement ne garantit pas la récupération des données, mais finance également de futures attaques. Signalez l'incident aux autorités cyber, donc en France l'ANSSI, la CNIL et la plateforme cybermalveillance.gouv.fr, tout en prenant des mesures pour isoler les systèmes compromis et limiter la propagation du malware.
27 février 2025 à 09h45
