Mi-mars 2025, la Cybersecurity and Security Agency (CISA) et le Federal Bureau of Investigation (FBI) ont annoncé le groupe de cybercriminalité Medusa, spécialisé dans l'organisation de cyberattaques utilisant des logiciels malveillants de cryptage de données à des fins d'extorsion (ransomware). Les victimes de ce groupe sont des agences, des organisations, des entreprises, des hôpitaux et des écoles.

Le groupe mène des cyberattaques sophistiquées, exploitant les vulnérabilités et infiltrant les réseaux ou les ordinateurs, chiffrant les données et faisant chanter les victimes pour qu'elles divulguent les données. Les montants des rançons peuvent atteindre des millions de dollars. La liste des plus de 400 victimes du groupe comprend Toyota Financial Services, une filiale du groupe Toyota, qui a été retenue contre rançon en novembre 2023.

Les chercheurs en sécurité de Kaspersky ont signalé les activités du rançongiciel Medusa en 2023. Selon les recommandations de Kaspersky aux entreprises, les étapes à suivre incluent :

• Tester et sécuriser les services de contrôle à distance (Remote Desktop).
• Vérifiez et mettez à jour régulièrement les correctifs pour les services de réseau privé virtuel (VPN) qui permettent aux employés d’accéder au réseau de l’entreprise.
• Mettez à jour le dernier logiciel sur votre appareil.
• Sauvegardez les données importantes.
• Améliorez la sécurité avec des solutions telles que Kaspersky Endpoint Detection & Response pour détecter les attaques de manière précoce.

Pour les utilisateurs individuels, le FBI recommande de renforcer la protection des comptes Gmail et Outlook, ainsi que des services VPN utilisés.

• Sauvegardez vos données en plusieurs copies, dans des emplacements séparés et sûrs.
• Mettre à jour le système d’exploitation Windows et les logiciels utilisés.
• Utilisez des outils de surveillance et de suivi de sécurité pour les appareils et les réseaux afin de détecter les intrusions.

Près d'un million d'ordinateurs Windows ont été ciblés

Microsoft a averti que des millions d'ordinateurs Windows sont la cible d'une cyberattaque infectée par des logiciels malveillants provenant de sites de films piratés. Selon Microsoft, lors de l'accès à un site Web pour regarder des films piratés, les ordinateurs des utilisateurs peuvent être redirigés vers le téléchargement de logiciels malveillants hébergés par des cybercriminels utilisant Github comme emplacement de stockage.

L'attaque a été divisée en quatre étapes assez sophistiquées et des parties du malware ont été hébergées à partir de plusieurs sites Web, notamment les réseaux Discord et Dropbox, et ont été « tirées » vers la machine de la victime. Les données importantes seront « interrogées », même les données stockées « dans le cloud » Microsoft OneDrive. Le logiciel malveillant vérifie également si l'ordinateur de l'utilisateur contient des informations financières sur des portefeuilles de crypto-monnaie tels que Ledger Live, Trezor Suite, KeepKey, BCVault, OneKey et BitBox.

Selon M. Ngo Tran Vu, directeur de NTS Security, « La plupart des particuliers et des petites entreprises font encore preuve de négligence face aux menaces numériques. Ils ont souvent l'habitude d'accéder à des sites de visionnage de films en ligne pour se divertir directement sur leurs ordinateurs Windows, qui contiennent de nombreuses données importantes. Les données professionnelles, les informations de gestion des comptes… ne sont gérées que superficiellement ou incomplètement, ce qui entraîne souvent de lourds dommages et une récupération difficile en cas d'incidents tels que des attaques par rançongiciel. »

« Avec des menaces de plus en plus diverses entourant les utilisateurs, l'utilisation d'une solution de protection complète est la bonne solution, aidant les utilisateurs à être plus en sécurité, même avec des risques qu'ils ne connaissent pas ou dont ils ne se souviennent pas », a partagé M. Vu.