Ransomware : Medusa propose un aperçu vidéo de données volées

Les opérateurs de la franchise mafieuse Medusa viennent d’innover en matière de moyens de pression sur leurs victimes : ils viennent de diffuser, via Vimeo, une vidéo donnant un aperçu des données volées au groupement scolaire public de Minneapolis, aux États-Unis. 

La cyberattaque est survenue fin février. À l’époque, le groupement ne parlait que de « difficultés techniques » avant d’ajuster son message pour évoquer un « événement de chiffrement », mais encore sans prononcer le mot rançongiciel. La revendication, par la franchise Medusa, est survenue le 7 mars, accompagnée d’images d’échantillon et d’une autre, indiquant le lien vers la vidéo. Celle-ci a depuis été supprimée. 

La revendication de la cyberattaque indique que les données seront divulguées, faute de paiement de la rançon demandée, le 19 mars prochain. 

Les premières revendications de la franchise Medusa remontent à début 2023. Elles sont à ce jour au nombre d’une vingtaine. Parmi elles, on peut relever l’opérateur Tonga Communications, PetroChina en Indonésie, ou encore Bank of Africa, et l’autorité aéroportuaire du Kenya, notamment.

Les opérateurs de la franchise Medusa semblent avoir bien compris comment renforcer la pression exercée sur leurs victimes avec leurs menaces de divulgation : avant de diffuser effectivement les données, ils proposent au téléchargement l’arborescence des fichiers volés. Avec ceux-ci, n’importe qui peut se faire une idée de ce qui a été dérobé, plus précisément qu’avec quelques captures d’écran.

Cette approche n’est pas isolée : récemment, les opérateurs de LockBit 3.0 ont mis à jour leur site dédié à la divulgation de données volées pour ajouter à chacun des 700 dossiers y figurant une liste de fichiers, pour chaque victime. 

Mais Medusa va plus loin : la franchise utilise un groupe Telegram pour diffuser ses données volées, en plus de son site vitrine accessible via Tor. Là, c’est la promesse d’un accès simplifié à ses données pour tous ceux qu’elles sont susceptibles d’intéresser. Car télécharger les fichiers volés à partir des sites vitrine, accessibles uniquement via Tor, n’est généralement pas évident. Et il l’est encore moins lorsque les fichiers ne sont téléchargeables qu’un à un, comme lorsque le site de divulgation permet de naviguer dans les fichiers et non pas de télécharger d’un bloc. Une dernière option qui n’est d’ailleurs pas non plus un gage de rapidité. Stéphane Lenco, RSSI groupe de Thales, le relevait d’ailleurs récemment dans nos colonnes au sujet de la fausse revendication de LockBit à l’automne dernier.