Le FBI et l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont mis en garde contre un dangereux ransomware-as-a-service (RaaS). Appelé Medusa, il mobilise un large panel d’outils, légitimes ou non, pour voler et crypter les données de ses victimes.
Medusa donne des sueurs froides au FBI et à la CISA, qui ont alerté sur sa dangerosité. Ils ont diffusé dans un avis commun, les techniques et procédures (TTP) ainsi que les indicateurs de compromission (IOC) de cette variante RaaS, à distinguer du ransomware MedusaLocker et du malware mobile Medusa.
Détecté depuis 2021, Medusa fonctionnait initialement comme une variante fermée, contrôlée par un seul groupe d’acteurs de la menace, mais il a évolué depuis vers un modèle RaaS, bien que certaines opérations, comme la négociation de la rançon, restent contrôlées par les développeurs. Si les autorités attirent l’attention sur ce ransomware, ce n’est pas un hasard. Particulièrement actifs, les affiliés ont fait plus de 300 victimes issues de secteurs critiques depuis décembre 2024.
Une méthode bien rodée
Les développeurs de Medusa recrutent des courtiers d’accès initial sur des forums et marchés criminels pour obtenir un accès initial aux victimes potentielles. Ils proposent entre 100 dollars et 1 million de dollars à leurs affiliés pour infecter des cibles.
Pour mettre la main sur des identifiants, les affiliés opèrent via des campagnes de phishing ou exploitent des vulnérabilités logicielles non corrigées, telles que la vulnérabilité ScreenConnect CVE-2024-1709 (bypass d'authentification par un chemin alternatif) et la vulnérabilité d'injection SQL de Fortinet EMS CVE-2023-48788.
Ils utilisent ensuite des outils comme Advanced IP Scanner et SoftPerfect Network Scanner pour l’énumération des utilisateurs, systèmes et réseaux. Puis, avec des outils comme PowerShell et l’invite de commande Windows, entre autres, ils interrogent les informations système. Ils recourent également à divers programmes, tels que Certutil, pour éviter la détection lors de l’ingestion de fichiers.
Pour se déplacer latéralement dans le réseau, les affiliés se servent des logiciels d’accès à distance légitimes (AnyDesk, Atera, ConnectWise, eHorus, N-able, PDQ Deploy, etc.), qu’ils choisissent en fonction de ceux présents dans l’environnement de la victime, afin d’échapper à la détection. Ils les combinent à Remote Desktop Protocol et PsExec pour se déplacer latéralement dans le réseau et identifier les fichiers à exfiltrer et à crypter.
Pour faciliter l’exfiltration vers leurs serveurs C2, les pirates installent Rclone et déploient leur cryptographe gaze.exe à l’aide de PsExec, PDQ Deploy ou BigFix, en désactivant au passage les antivirus sur les cibles spécifiques.
Double ou triple extorsion ?
Les développeurs emploient un schéma assez classique de double extorsion, qui consiste à crypter les données de leurs cibles et à les menacer de les divulguer si elles ne paient pas de rançon. Ils donnent généralement 48 heures à leurs victimes pour les contacter via un chat sur Tor ou via Tox, une plateforme de messagerie chiffrée de bout en bout, ou les contactent directement par téléphone ou e-mail.
Voilà pour le schéma classique. Le FBI et la CISA mettent toutefois en garde : « Les enquêtes du FBI ont identifié qu'après avoir payé la rançon, une victime a été contactée par un autre acteur de Medusa, qui a affirmé que le négociateur avait volé la somme de la rançon déjà payée et a demandé que la moitié du paiement soit effectuée à nouveau pour fournir le « vrai décryptage » — indiquant potentiellement un schéma d'extorsion triple. »
Le b.a.-ba pour se prémunir contre Medusa
Le FBI et la CISA rappellent aux entreprises les mesures d’atténuation afin d’adopter la meilleure posture de cybersécurité et de limiter l’impact des attaques de Medusa. Cela comprend la mise en œuvre d’un plan de récupération avec copie et sauvegarde des données sensibles et propriétaires sur des serveurs physiques séparés, segmentés et sécurisés.
Les autorités invitent à adopter les meilleures pratiques en termes de longueur et de complexité des mots de passe, d’ajouter une MFA pour tous les services web, VPN et comptes d’accès à privilège si ce n’est pas déjà fait, et de se conformer aux normes du NIST. Tous les systèmes, logiciels et firmwares doivent être régulièrement mis à jour, en priorisant les vulnérabilités connues et exploitées.
Pour empêcher la propagation du ransomware, il est également conseillé de segmenter les réseaux, d’identifier, détecter et enquêter sur toute activité anormale via des outils dédiés type EDR, de privilégier les VPN et hôtes relais pour les accès à distance au réseau, de surveiller les tentatives de numérisation et d’accès non autorisés, de filtrer le trafic réseau, de désactiver les ports non utilisés, d’auditer les comptes à privilèges et de privilégier le principe du moindre privilège… La liste est longue.
