Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Isolation des ransomwares
Maritza Marie Dubec
Responsable principal du marketing de contenu
Illumio Editorial
Avril 4, 2025
23 min. lire

Pourquoi le ransomware Medusa constitue-t-il une menace croissante pour les infrastructures critiques ?

Medusa a toujours été plus qu'un monstre.  

In ancient myth, her gaze turned men to stone. During the Renaissance, she was a symbol of beauty turned deadly. Today, she’s been reclaimed as a figure of transformation — showing up in fashion, pop culture, and symbols of empowerment.

Today, she’s back — not in marble or myth, but in malware. Medusa's ransomware-as-a-service (RaaS) operation, active since June 2021, is now ramping up attacks against critical infrastructure around the world. Targeted sectors include the medical, education, legal, insurance, technology, and manufacturing industries.

In the first two months of 2025, the number of Medusa ransomware attacks doubled compared to the same period last year — a sharp rise that signals Medusa is accelerating, not fading.

Différentes représentations de Méduse au fil des ans

Dans le mythe, regarder Méduse signifie la mort. En matière de cybersécurité, ne pas la voir peut menacer l'électricité, l'eau, les transports, les systèmes financiers et la confiance du public, c'est-à-dire l'infrastructure qui permet au monde de fonctionner.

Un avertissement commun de la CISA et du FBI

In February 2024, CISA and the FBI issued a joint advisory: #StopRansomware: Medusa Ransomware.

More than 300 organizations have already fallen victim, including hospitals, financial institutions, schools, and government services.

Les agences ont conseillé ces mesures urgentes :

  • Veiller à ce que les systèmes d'exploitation, les logiciels et les microprogrammes soient corrigés et mis à jour.
  • Segmenter les réseaux pour limiter les mouvements latéraux.
  • Filtrez le trafic réseau en empêchant les origines inconnues ou non fiables d'accéder aux services distants.

Les rançongiciels sont désormais un risque national

Ransomware wasn’t always this dangerous. In 1989, the first known ransomware attack — known as the AIDS Trojan — was delivered by floppy disk and demanded $189 by mail.

Today, according to Illumio's Global Cost of Ransomware Study:

  • 25% des systèmes critiques tombent en panne lors d'une attaque, pour une durée moyenne de 12 heures.
  • Les demandes de rançon moyennes dépassent 1,2 million de dollars.
  • Même après paiement, seules 13% des victimes récupèrent toutes leurs données.
  • Le confinement nécessite plus de 130 heures (environ 11 jours) et près de 18 personnes.

Les rançongiciels ne sont pas seulement une cybermenace. C'est une perte de temps, d'argent et de résilience. Et lorsqu'ils touchent des infrastructures critiques, les enjeux peuvent entraîner une ruine financière, mettre en danger le public et même déstabiliser les gouvernements.  

Pourquoi les infrastructures critiques sont-elles si exposées ?

Critical infrastructure is a magnet for ransomware for an important reason: it matters.

"L'infrastructure critique est essentielle par nature - si vous la mettez hors service, les répercussions sont énormes", déclare Trevor Dearing, directeur des solutions d'infrastructure critique d'Illumio. "La véritable menace qui pèse sur les services essentiels est l'arrêt des opérations - lorsque les systèmes d'électricité, d'eau ou de transport sont mis hors service. C'est là que les choses deviennent vraiment dangereuses".

Des réseaux électriques aux pipelines, l'épine dorsale de la société repose souvent sur des technologies obsolètes et irrécupérables, en particulier les anciens systèmes ICS et SCADA.

Michael Adjei, directeur de l'ingénierie des systèmes d'Illumio pour la région EMEA, partage cet avis.

"Ces systèmes sont difficiles à mettre à jour et faciles à exploiter par les pirates", explique-t-il. "Cela en fait des cibles idéales pour les ransomwares comme Medusa.

Même si la modernisation s'accélère, la sécurité est souvent laissée pour compte dans le monde des infrastructures critiques.

"Les systèmes de contrôle câblés sont remplacés par l'Ethernet et le Wi-Fi sans que les implications en termes de sécurité soient pleinement prises en compte", explique M. Dearing. "De plus, de nombreux fabricants livrent des équipements dont la sécurité par défaut est faible - et limitent ensuite ce que les entreprises peuvent faire pour la renforcer.

De nombreuses organisations d'infrastructures critiques sont publiques ou dépendent d'un financement national. Cela signifie que la passation des marchés est lente, que la surveillance est complexe et que les budgets sont limités. En d'autres termes, il s'agit d'une cible massive et insuffisamment défendue.

Quelle est la gravité d'une attaque contre des infrastructures critiques ?

In 2023, 11 of the 15 most common vulnerabilities were exploited as zero-day flaws, according to a joint report from CISA and the NSA. The speed and scale of exploitation show just how quickly attackers are moving to weaponize flaws before defenders can patch them — especially in critical systems. As ransomware tactics evolve, attackers can turn minor vulnerabilities into major threats — with the potential to destabilize critical infrastructure and disrupt essential services.  

Les rançongiciels conçus pour l'ère hybride

Medusa n'a pas besoin de vulnérabilités de type "zero-day" ou d'exploits bruyants. Il se déplace silencieusement et est conçu pour les environnements hybrides, où les applications en nuage peuvent se connecter aux centres de données sur site.

Medusa avoids detection by using tools already inside your network — known as living off the land (LotL). Instead of dropping new malware, it exploits built-in programs and vulnerabilities to blend in with normal operations.

Il peut s'agir de

  • PowerShell
  • Instrumentation de gestion Windows (WMI)
  • Protocole de bureau à distance (RDP)
  • ConnectWise ScreenConnect
  • SSH (sur les systèmes Linux et Unix)  

"Ces outils sont autorisés, fiables et disposent déjà de l'accès souhaité par les attaquants", explique M. Adjei. "Il s'agit moins de l'outil que de ses privilèges et de sa portée.

Les logiciels de gestion à distance tels que ScreenConnect ou SolarWinds sont particulièrement intéressants car ils sont pré-approuvés. Conçu pour connecter, surveiller et contrôler à grande échelle, il devient un multiplicateur de force entre de mauvaises mains, donnant aux attaquants un accès immédiat à l'ensemble des systèmes.

Et lorsque le ransomware se comporte comme un service informatique, il peut ne pas déclencher d'alarme.

Comme le dit Adjei : "Les ransomwares modernes n'arrivent pas par la porte d'entrée, ils se fondent dans la masse comme un espion."

Mouvement latéral : comment Medusa se propage-t-elle ?

Les attaquants se posent là où c'est facile - pas là où ils veulent être. Ils se déplacent ensuite silencieusement sur le réseau, système par système, jusqu'à ce qu'ils atteignent les joyaux de la couronne.

There are two types of lateral movement:

  • ‍Host-intrinsic: escalade des privilèges au sein du système (par exemple, svc-ndscans)‍
  • Extrinsèque à l'hôte: déplacement entre machines via RDP ou WinRM

Lors d'une attaque typique de la Méduse, les deux types d'attaques sont combinés. Tout d'abord, ils prennent le contrôle à l'intérieur d'un appareil. Ils utilisent ensuite cet accès pour se répandre discrètement sur le réseau.

Le processus de déplacement latéral

Exfiltration de données et double extorsion  

Medusa a également recours à une double extorsion : le cryptage des données et leur exfiltration - en exigeant une rançon pour les récupérer et la promesse que les données volées ne seront pas publiées, vendues ou divulguées en ligne ou sur le dark web.

Au cours de la dernière étape, les attaquants localisent et volent des données sensibles qu'ils renvoient à leurs serveurs de commande et de contrôle. Ce trafic de rappel peut être acheminé via des ports de communication courants, en utilisant des techniques telles que les enregistrements de texte DNS ou les paquets ICMP - des méthodes conçues pour passer inaperçues face aux défenses traditionnelles.

Les outils de tunneling DNS permettent aux attaquants d'exfiltrer des données par le biais de protocoles fiables tels que le DNS, ce qui les rend difficiles à détecter.

Ne vous détournez pas de la Méduse

Pour en savoir plus sur la portée, l'ampleur et les enjeux des menaces actuelles liées aux ransomwares :

Sujets connexes

Isolation des ransomwares

Articles connexes

Les attaques contre les services publics sont de plus en plus perturbatrices : Ce que les opérateurs peuvent faire
Isolation des ransomwares

Les attaques contre les services publics sont de plus en plus perturbatrices : Ce que les opérateurs peuvent faire

Découvrez comment les attaques des services publics évoluent et les cinq stratégies que les opérateurs peuvent utiliser pour atténuer les menaces actuelles.

En savoir plus
4 principes de base pour se protéger contre les ransomwares
Isolation des ransomwares

4 principes de base pour se protéger contre les ransomwares

Le respect et la mise en œuvre de ces quatre principes fondamentaux vous aideront à protéger votre organisation contre les ransomwares. Lire la suite.

En savoir plus
Démystifier les techniques de ransomware à l'aide d'assemblages .Net : Une attaque en plusieurs étapes
Isolation des ransomwares

Démystifier les techniques de ransomware à l'aide d'assemblages .Net : Une attaque en plusieurs étapes

Apprenez les principes fondamentaux d'une attaque par charges utiles en plusieurs étapes à l'aide d'une série de charges utiles échelonnées.

En savoir plus
Étude sur le coût mondial des ransomwares : Ce que les chiffres nous apprennent
Isolation des ransomwares

Étude sur le coût mondial des ransomwares : Ce que les chiffres nous apprennent

Découvrez comment les attaquants s'orientent vers la perturbation des opérations, pourquoi la prévention ne suffit pas et comment la confiance zéro et la microsegmentation limitent l'impact des ransomwares.

En savoir plus
9 raisons d'utiliser Illumio pour contenir les ransomwares
Isolation des ransomwares

9 raisons d'utiliser Illumio pour contenir les ransomwares

Découvrez comment la visibilité en temps réel et les contrôles simples d'Illumio réduiront rapidement vos plus grandes sources de risques de ransomware, comme les ports RDP inutilisés.

En savoir plus
Les ransomwares en 2025 : Coût, tendances et moyens de réduire les risques
Isolation des ransomwares

Les ransomwares en 2025 : Coût, tendances et moyens de réduire les risques

Découvrez comment les attaquants exploitent les failles de sécurité, pourquoi le ransomware est désormais un modèle économique et comment la microsegmentation peut stopper les menaces dans leur élan.

En savoir plus

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

En savoir plus