Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Campagne d'attaque par ransomware Medusa

Campagne d'attaque par ransomware Medusa

Par Mezo en Menace persistante avancée (APT), Ransomware
Se traduisent par :

Le groupe de cybercriminels Lazarus Group, également connu sous les noms de Diamond Sleet et Pompilus, et lié à la Corée du Nord, a été observé en train de déployer le ransomware Medusa lors d'une attaque contre une organisation non identifiée au Moyen-Orient. Des chercheurs en sécurité ont par ailleurs identifié une tentative d'intrusion infructueuse menée par ce même groupe contre un organisme de santé aux États-Unis.

Medusa fonctionne selon un modèle de ransomware-as-a-service (RaaS) et a été lancé en 2023 par un groupe de cybercriminels connu sous le nom de Spearwing. Depuis son apparition, le groupe a revendiqué plus de 366 attaques. L'analyse du portail de fuites de Medusa indique qu'à partir de novembre 2025, quatre organismes américains du secteur de la santé et des associations à but non lucratif ont été recensés comme victimes. Parmi eux figuraient une association de santé mentale et un établissement scolaire pour enfants autistes. Il n'est pas encore établi si tous les incidents ont été directement imputés à des agents nord-coréens ou si d'autres groupes affiliés à Medusa sont responsables de certaines intrusions. Durant cette période, la rançon moyenne exigée s'élevait à environ 260 000 dollars.

Évolution des ransomwares au sein des opérations nord-coréennes

L’utilisation de rançongiciels par les unités cybernétiques nord-coréennes est un fait avéré. Dès 2021, un sous-groupe de Lazarus connu sous le nom d’Andariel (également appelé Stonefly) a mené des attaques en Corée du Sud, au Japon et aux États-Unis en utilisant des familles de rançongiciels propriétaires telles que SHATTEREDGLASS, Maui et H0lyGh0st.

En octobre 2024, le groupe a été lié à un déploiement du ransomware Play, signalant un virage stratégique vers l'utilisation de ransomwares disponibles dans le commerce plutôt que de s'appuyer exclusivement sur des charges utiles personnalisées.

Cette transition ne se limite pas à Andariel. Un autre acteur nord-coréen, Moonstone Sleet, précédemment associé au ransomware personnalisé FakePenny, aurait ciblé des institutions financières sud-coréennes à l'aide du ransomware Qilin. Ces développements suggèrent un réajustement tactique plus large, les opérateurs nord-coréens agissant de plus en plus comme des filiales au sein d'écosystèmes RaaS établis, plutôt que de maintenir des chaînes d'outils de ransomware entièrement propriétaires.

Ensemble d’outils opérationnels à l’appui de la campagne Medusa

L'activité liée à Medusa et attribuée à Lazarus combine des logiciels malveillants développés sur mesure et des outils offensifs disponibles publiquement. Parmi les outils observés :

  • RP_Proxy, un utilitaire proxy propriétaire.
  • Mimikatz, un outil de récupération d'identifiants largement utilisé dans les activités post-exploitation.
  • Comebacker, une porte dérobée exclusive à Lazarus.
  • InfoHook, un voleur d'informations précédemment lié aux déploiements de Comebacker.
  • BLINDINGCAN (également connu sous le nom d'AIRDRY ou ZetaNile), un cheval de Troie d'accès à distance.
  • ChromeStealer, un utilitaire conçu pour extraire les identifiants enregistrés dans le navigateur Chrome.

Bien que les tactiques d'extorsion ressemblent à des opérations antérieures d'Andariel, l'activité actuelle n'a pas été attribuée de manière concluante à un sous-groupe spécifique de Lazarus.

Implications stratégiques : Le pragmatisme plutôt que le développement propriétaire

L'adoption de variantes de ransomware telles que Medusa et Qilin témoigne d'un pragmatisme opérationnel. Le développement et la maintenance de familles de ransomware personnalisées exigent des ressources, des tests et une infrastructure considérables. L'utilisation de plateformes RaaS (Rasor-as-a-Service) établies offre un accès immédiat à des capacités de chiffrement éprouvées, à un support opérationnel et à des mécanismes de monétisation performants. Les structures de rémunération des affiliés peuvent être considérées comme un compromis raisonnable au regard des coûts de développement et de maintenance.

Ciblage persistant et sans restriction

Le recours accru aux rançongiciels prêts à l'emploi souligne une fois de plus l'implication persistante de la Corée du Nord dans la cybercriminalité à motivation financière. Le choix des cibles révèle une faible restriction, des organisations aux États-Unis, notamment des établissements de santé, étant visées. Si certains groupes criminels affirment publiquement éviter les cibles du secteur de la santé afin de limiter les répercussions sur leur réputation, aucune limitation comparable ne semble se manifester dans les opérations liées à Lazarus.

Tendance

Campagne d'attaque par ransomware Medusa

Menace persistante avancée (APT), Ransomware
Le groupe de cybercriminels Lazarus Group, également connu sous les noms de Diamond Sleet et Pompilus, et lié à la Corée du Nord, a été observé en train de déployer le ransomware Medusa lors d'une attaque contre une organisation non identifiée au Moyen-Orient. Des chercheurs en sécurité ont par ailleurs identifié une tentative d'intrusion infructueuse menée par ce même groupe contre un...

Le plus regardé

Chargement...