06 mars 2025Ravie LakshmananIntelligence / vulnérabilité des menaces

Les acteurs de la menace derrière le Ransomware de Medusa ont réclamé près de 400 victimes depuis sa première émergence en janvier 2023, les attaques motivées financièrement témoignant d’une augmentation de 42% entre 2023 et 2024.

Au cours des deux premiers mois de 2025 seulement, le groupe a réclamé plus de 40 attaques, selon les données de l’équipe Hunter de Symantec Threat Hunter dans un rapport partagé avec le Hacker News. La société de cybersécurité suit le cluster sous le nom de Spearwing.

“Comme la majorité des opérateurs de ransomwares, Spearwing et ses affiliés effectuent des attaques à double extorsion, en volant les données des victimes avant de chiffrer les réseaux afin d’augmenter la pression sur les victimes pour payer une rançon”, Symantec noté.

Cybersécurité

“Si les victimes refusent de payer, le groupe menace de publier les données volées sur leur site de fuites de données.”

Tandis que d’autres joueurs Ransomware-as-a-Service (RAAS) comme RansomHub (aka Greenbottle et Cyclops), Play (AKA Balloonfly) et Qilin (AKA Agenda, Stinkbug et Water Galura) bénéficiant D’après les perturbations de Lockbit et Blackcat, la pointe des infections de Medusa soulève la possibilité que l’acteur de menace puisse également se précipiter pour combler l’écart laissé par les deux extormistes prolifiques.

Le développement survient alors que le paysage des ransomwares continue d’être dans un état de flux, avec un flux constant de nouvelles opérations RAAS, telles que Anubis, Chiffre d’affaires, Cœur, Dange, Lcryx, Loches, Vgodet Xeleraémergeant dans la nature ces derniers mois.

MEDUSA a un historique de rançon exigeantes entre 100 000 $ jusqu’à 15 millions de dollars auprès des prestataires de soins de santé et des organisations à but non lucratif, ainsi que pour cibler les organisations financières et gouvernementales.

Les chaînes d’attaque montées par le syndicat Ransomware impliquent l’exploitation de défauts de sécurité connus dans les applications accessibles au public, principalement Microsoft Exchange Server, pour obtenir un accès initial. Il est également soupçonné que les acteurs de la menace utilisent probablement les courtiers d’accès initiaux pour violer les réseaux d’intérêt.

Cybersécurité

Une fois que l’on obtient un succès réussi, les pirates de baisse d’utilisation de la gestion à distance et de surveillance (RMM) tels que SimpleHelp, AnyDesk ou Meshagent pour un accès persistant, et utilisez les techniques de conducteur vulnérable (BYOVD), éprouvées pour mettre fin aux processus antivirus à l’aide de Killav. Il convient de souligner que Killav a déjà été utilisé dans les attaques de ransomwares BlackCat.

“L’utilisation du logiciel RMM légitime PDQ Deploy est une autre caractéristique des attaques de ransomwares Medusa”, a déclaré Symantec. “Il est généralement utilisé par les attaquants pour supprimer d’autres outils et fichiers et pour se déplacer latéralement à travers le réseau de victime.”

Certains des autres outils déployés au cours d’une attaque de ransomware MEDUSA incluent Navicat pour accéder et exécuter les requêtes de base de données, la robocopy et le rclone pour l’exfiltration de données.

“Comme la plupart des groupes de ransomware ciblés, Spearwing a tendance à attaquer les grandes organisations dans une gamme de secteurs”, a déclaré Symantec. “Les groupes de ransomwares ont tendance à être motivés uniquement par le profit, et non par des considérations idéologiques ou morales.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57