Ransomware Medusa : Analyse et Recommandations

Une menace active et en pleine expansion

Je vous propose une analyse approfondie du ransomware Medusa, basée sur plusieurs sources OSINT. Cet article vise à vous apporter un éclairage sur cette menace qui cible aussi bien les entreprises que les institutions gouvernementales.

Le ransomware Medusa a été identifié pour la première fois en juin 2021 et continue de représenter une menace sérieuse en 2025. Fonctionnant sous un modèle de ransomware-as-a-service (RaaS), il est utilisé par des cybercriminels affiliés pour mener des attaques contre des secteurs critiques tels que la santé, l’éducation, le droit, l’assurance, la technologie et l’industrie manufacturière.

Contrairement à d’autres variantes comme MedusaLocker, Medusa adopte une approche d’extorsion double et parfois triple : il chiffre les fichiers des victimes, menace de publier les données volées et, dans certains cas, tente d’escroquer les victimes après le paiement initial.

Mode opératoire du ransomware Medusa

Les attaquants utilisant Medusa appliquent une approche structurée et évolutive, combinant exploitation de vulnérabilités, mouvements latéraux et exfiltration de données avant l’exécution du chiffrement.

1. Accès Initial : portes d’entrée exploitées par Medusa

Medusa s’introduits dans les réseaux via plusieurs méthodes :

• Phishing ciblé : campagne d’hameçonnage visant à récupérer des identifiants ou à inciter les victimes à exécuter des fichiers malveillants.
• Exploitation de vulnérabilités connues : notamment CVE-2024-1709 (faille dans ScreenConnect) et CVE-2023-48788 (injection SQL sur Fortinet EMS).
• Utilisation de courtiers d’accès initial (IABs) : les attaquants achètent des accès compromis sur des forums cybercriminels.

2. Mouvement latéral et persistance

Une fois à l’intérieur du réseau, les attaquants appliquent plusieurs techniques pour éviter la détection et maximiser leur contrôle :

• Outils « Living off the Land » (LOTL) : utilisation d’outils légitimes comme PowerShell, Windows Management Instrumentation (WMI) et Advanced IP Scanner.
• Accès distant via logiciels légitimes : AnyDesk, Atera, ConnectWise, eHorus, PDQ Deploy, Splashtop.
• Dumping de credentials avec Mimikatz : extraction d’identifiants pour étendre la compromission.

3. Exfiltration et chiffrement des données

Le ransomware Medusa applique une séquence structurée :

1. Identification et extraction des fichiers sensibles via Rclone vers des serveurs de contrôle des attaquants.
2. Désactivation des outils de protection : suppression de Windows Defender et d’autres solutions EDR.
3. Chiffrement des fichiers avec AES-256, ajoutant l’extension .medusa.
4. Suppression des sauvegardes et arrêt des services critiques.

4. Extorsion : un modèle en plusieurs étapes

• La rançon est exigée avec une deadline de 48 heures.
• Contact via Tor ou Tox, avec relance directe par téléphone ou email.
• Fuite des données sur un site .onion si le paiement n’est pas effectué.
• Possibilité d’ajouter du temps avant la publication moyennant un paiement de 10 000 dollars.
• Certains cas de fraude post-paiement ont été observés, où un second attaquant prétendait que le premier avait volé la rançon, exigeant un paiement supplémentaire.

Mesures de protection et bonnes pratiques

Les recommandations suivantes sont essentielles pour réduire les risques associés à Medusa :

• Appliquer immédiatement les correctifs aux vulnérabilités connues et maintenir les systèmes à jour.
• Segmenter le réseau pour empêcher les déplacements latéraux.
• Restreindre les connexions distantes et surveiller les accès non autorisés.
• Activer l’authentification multi-facteurs (MFA) sur les comptes sensibles.
• Renforcer la surveillance des logs réseau pour détecter les anomalies et les tentatives de connexion suspectes.
• Maintenir des sauvegardes chiffrées et hors ligne, avec des tests réguliers de restauration.
• Limiter l’utilisation des outils d’administration à distance, sauf en cas de besoin strictement défini.

Pourquoi cette menace est critique ?

Le ransomware Medusa illustre la montée en puissance des opérations criminelles structurées qui exploitent la moindre faille pour maximiser leur impact. Les entreprises et institutions doivent renforcer leur résilience face aux attaques en adoptant une posture de cybersécurité proactive.

Sources et références

• Rapport #StopRansomware – Medusa Ransomware, publié par le FBI, CISA et MS-ISAC
• IOC format XML

• Base de données des vulnérabilités exploitées : CVE-2024-1709, CVE-2023-48788
• MITRE ATT&CK – Techniques utilisées par Medusa : T1566, T1190, T1059.001, T1083, T1486
• Ressources officielles : StopRansomware.gov