Le 16 septembre dernier, des données personnelles de citoyens de Betton, une commune dans l’agglomération de Rennes, sont dévoilées publiquement sur le site darknet de Medusa. La ville avait subi une attaque par ransomware fin août et avait refusé de payer la rançon de 100 000 dollars exigée par les hackers. Les cybercriminels ont donc fini par diffuser publiquement la base de données contenant de nombreuses informations personnelles, telles que des pièces d’identité, des adresses ainsi que des échanges administratifs.
Dans un communiqué, la municipalité déclare que « cette exfiltration représente, après vérification par les experts dans ce domaine, environ 2 % de la totalité des données de la Ville relevant de notre système informatique.»
C’est la troisième fois que le collectif Medusa s’attaque à une cible française. En août dernier, la mairie de Sartrouville a subi le même sort que celle de Betton, avec une base de données publiée sur leu site darknet des hackers. Un constructeur de machine à papier a également été touché en avril cette année.
Un groupe de cybercriminels en plein développement
Medusa fonctionne comme un collectif de ransomware classique : les hackers s’infiltrent dans un réseau en piégeant un employé par mail, par exemple, « creusent » dans le système pour y découvrir les informations sensibles et lancent une exfiltration des données. Les fichiers sont chiffrés et la victime doit verser une somme pour espérer retrouver leurs documents.
Le groupe est moins médiatisé que des collectifs tels que Lockbit ou ALPHV, mais enchaîne les attaques depuis près d’un an. Depuis novembre 2022, les hackers de Medusa ont affiché près d’une centaine de victimes sur leur site darknet. Plus d’un tiers des organisations touchées sont situées aux États-Unis. Le groupe s’en prend régulièrement à des services publics. Medusa est un nom adopté par de nombreux groupes de cybercriminels, mais un collectif en particulier serait derrière ces attaques par ransomware, menées depuis plus d’un an.
Selon un rapport de la société SocRadar, Medusa aurait adopté le modèle de ransomware-as-a-service (rançongiciel en tant que service) : les cybercriminels gèrent un logiciel et le font louer à des hackers partenaires. Ces derniers se chargent de pirater et verse une commission une fois la rançon payée par la victime.
Les experts en cyber ont également détecté que Medusa profite de vulnérabilité dans les navigateurs tels que Chrome. Mettez donc bien à jour votre navigateur, comme nous le recommandons souvent.
Comme de nombreux groupes de cybercriminels, les hackers de Medusa seraient d’origine russe. Les services de cybersécurité de l’administration de santé américaine ont enfin pu remonter jusqu’à leur serveur, basé en Russie. Aucune de leur cible n’est basée dans les pays de l’ex-bloc soviétique, une règle courante chez les collectifs de ransomware.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
