Les autorités américaines tirent la sonnette d’alarme au sujet d’une vague de cyberattaques orchestrées par Medusa, un redoutable ransomware. Dans un communiqué commun, la Cybersecurity and Infrastructure Security Agency (CISA), l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis, et le Federal Bureau of Investigation (FBI), indiquent que Medusa a touché « plus de 300 victimes de divers secteurs d’infrastructures critiques » le mois dernier. Parmi les secteurs visés, on trouve la médecine, l’éducation, le droit, l’assurance, la technologie et la construction.
À lire aussi : Le ransomware Ghost fait des ravages – plus de 70 pays ont été touchés
Une vague d’attaques signée Medusa
Apparu en janvier 2021, le gang Medusa tire ses bénéfices d’un ransomware du même nom, proposé par abonnement à tous les cybercriminels. Moyennant finances, les pirates peuvent se servir du virus pour orchestrer des offensives et extorquer de l’argent à des entreprises. Néanmoins, ce sont toujours les développeurs de Medusa qui se chargent des négociations avec les cibles. Depuis son apparition, le groupe a fait des centaines de victimes dans le monde entier, dont Toyota Financial Services, une filiale de Toyota.
« Les développeurs de Medusa recrutent généralement des courtiers d’accès initial sur les forums et les marchés cybercriminels », en promettant des « paiements potentiels compris entre 100 et 1 million de dollars », explique le communiqué du FBI.
En passant par ses affiliés, considérés comme de simples courtiers, le gang a multiplié les attaques au cours de ces dernières années. Les chercheurs de Symantec indiquent avoir constaté une hausse de 42 % entre 2023 et 2024. Symantec précise que la hausse « continue de s’intensifier, avec presque deux fois plus d’attaques liées à Medusa observées en janvier et février 2025 qu’au cours des deux premiers mois de 2024 ».
Double extorsion et manipulation
Pour mener à bien ses attaques, Medusa se sert de vulnérabilités non corrigées et de diverses tactiques d’ingénierie sociale. En clair, les pirates manipulent leur cible pour qu’elle installe un virus sur son ordinateur. Une fois que le malware est entré dans le système, Medusa va tout faire pour exfiltrer des données sensibles. Les pirates visent surtout les informations d’identification, comme des mots de passe.
Comme la plupart des hackers spécialisés dans les ransomwares, le gang pratique la double extorsion. Ils ne se contentent pas de chiffrer les données avant de disparaitre. Ils dérobent d’abord tous les fichiers, et menacent de les publier sur Internet pour accentuer la pression sur la cible. En parallèle, Medusa met tout en œuvre pour perturber toutes les activités d’une infrastructure. Le ransomware est capable de paralyser plus de 200 services et processus Windows, uniquement pour avoir l’avantage dans les négociations avec l’entreprise, explique Jon Miller, PDG et cofondateur de Halcyon, à Forbes.
Le FBI met en garde les utilisateurs d’Outlook et Gmail
Dans ce contexte, le FBI recommande à toutes les organisations de prendre des mesures. Les agents fédéraux précisent que des messageries populaires comme Microsoft Outlook et Gmail sont particulièrement touchées par les assauts de Medusa. C’est également le cas des utilisateurs de VPN, qui restent la porte d’entrée préférée des ransomwares.
Le FBI conseille à tous les internautes d’activer la double authentification sans plus tarder. Ce mécanisme de sécurité devrait mettre des bâtons dans les routes des cybercriminels. Par ailleurs, il est essentiel de s’assurer que tous les logiciels installés sur votre ordinateur sont bien à jour. Des mises à jour régulières vont aussi empêcher les pirates d’arriver à leurs fins. Sans surprise, le FBI exhorte les utilisateurs à choisir des mots de passe complexes, difficiles à deviner.
Pour l’expert Roger Grimes de KnowBe4, les recommandations du FBI ne suffisent pas. Selon lui, le « principal moyen de vaincre » les pirates reste « la formation de sensibilisation à la sécurité ». Il faut impérativement apprendre aux utilisateurs à identifier tous les pièges. Sans formation adéquate, ils risquent de succomber aux tactiques d’ingénierie sociale des cybercriminels. Ces tactiques, visant à pousser la cible à installer un virus ou à ouvrir un fichier piégé, sont présentes dans 70 % à 90 % des attaques. Dans ces conditions, l’alerte du FBI revient à recommander « plus de serrures pour les portes » alors que « les criminels s’introduisent tout le temps dans votre maison par les fenêtres », estime Roger Grimes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : CISA
