À la fin du mois de février 2026, l’UMMC, le plus grand hôpital du Mississippi, est resté paralysé pendant neuf jours. Une éternité durant laquelle les équipes ont du revenir au papier et au stylo pour gérer urgences pédiatriques et traumatologiques.
Quelques jours plus tard, au tour du comté de Passaic dans le New Jersey de perdre l’accès à ses systèmes informatiques et ses lignes téléphoniques.
Deux attaques distinctes menées avec la même arme : le ransomware Medusa. Ce logiciel malveillant, qui a déjà frappé la France il y a quelques années, s’échange sans relâche entre pirates sans scrupules.
Storm-1175 aux commandes de Medusa
Selon Microsoft, qui a publié un article de blog le 6 avril 2026, le ransomware Medusa est désormais déployé par Storm-1175, un groupe affilié à la Chine. Ce cyberacteur se distingue par un mode opératoire particulièrement cynique. Il cible des secteurs vulnérables, déploie ses attaques de manière rapide et utilise le ransomware Medusa comme arme principale.
Les équipes threat intel du géant américain précisent que Storm-1175 peut frapper en 24 heures chrono dans certains cas, passant de l’accès initial au chiffrement ransomware. Le groupe excelle dans l’exploitation précoce de zero-days. Ils ont notamment largement utilisé la faille SAP NetWeaver seulement un jour après sa divulgation publique, ainsi que SmarterMail et GoAnywhere une semaine avant la publication du correctif.
Leur arsenal repose sur des chaînes d’exploits parfaitement rodées. Ces techniques leur permettent d’établir une persistance dans les systèmes infectés, de créer des comptes administrateur et de saboter les défenses avant de déployer Medusa.
Medusa circule toujours, 5 ans après son apparition
Ce ransomware, apparu pour la première fois en 2021, s’est rapidement développé comme une franchise louable à des affiliés via un modèle d’abonnement. Un système de RaaS (Ransomware as a Service) qui complique forcément les pistes d’attribution.
Les équipes de Check Point Research pointent vers des opérateurs russes, mentionnant notamment que le malware ne cible jamais d’organisations en Russie et dans les pays alliés de Moscou. Ils ajoutent par ailleurs que le logiciel s’échange particulièrement sur des forums du dark web russophones.
Broadcom, de son côté, avait signalé en février 2026 que le ransomware avait été utilisé par les hackers nord-coréens du groupe Lazarus contre des infrastructures de santé américaines.
Autant d’indices qui pointent vers le même constat : on risque d’entendre parler de Medusa pendant encore un bon moment.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !