Cyberattaque contre la ville de Betton : que mijote le groupe Medusa ?
Le groupe Medusa a revendiqué l’attaque et demande 100 000 $ de rançon. Faute de paiement, les données seront vraisemblablement diffusées via Telegram d’ici environ 2 semaines.
Dans un communiqué de presse publié le 1er septembre, la ville de Betton indique avoir « été victime d’une attaque d’ampleur, par ce que l’on appelle un rançongiciel ». La cyberattaque a été découverte le 31 août au matin et a touché les serveurs de la mairie.
L’attaque fait l’objet d’une revendication publiée sur le site vitrine du groupe Medusa, ce lundi 4 septembre. Celle-ci est assortie d’un montant de rançon affiché de 100 000 $. Faute de paiement, la menace est désormais bien connue : les données volées lors de l’attaque seront rendues publiques le 14 septembre au matin. Mais il ne faut pas s’attendre à ce que tout soit téléchargeable par n’importe qui, en un clic, sur un lien, dans son navigateur Web habituel ou même Tor Browser.
Medusa fait partie de ces groupes de cybercriminels pratiquant la double extorsion. C’est-à-dire que ses membres procèdent à un vol de données – on parle d’exfiltration – avant de déclencher le chiffrement de serveurs et postes de travail à portée de leurs clics. Mais les opérateurs de la franchise Medusa ont bien compris l’une des limites à l’effectivité de la menace de divulgation des données volées utilisée dans le cadre de la double extorsion, pour augmenter la pression sur leurs victimes et renforcer leurs chances de voir satisfaites leurs exigences en matière de rançon.
Tout pour exercer une réelle pression
La très grande majorité des franchises de ransomware pratiquant la double extorsion s’appuient sur des sites vitrine accessibles via Tor pour diffuser les données volées à leurs victimes refusant de céder au chantage.
Certains groupes, à l’instar de LockBit, et comme Medusa, proposent des interfaces de type navigateur de fichiers permettant d’accéder, sélectivement, aux données exfiltrées. Pour d’autres, comme Ragnar Locker, des fichiers d’archive compressés très volumineux sont utilisés pour distribuer, en un bloc, les données volées. D’autres segmentent ces archives, en rendant le téléchargement plus aisé. C’est ce que fait habituellement Cl0p.
Mais ce dernier a bien compris que les débits, via Tor, sont limités, rendant le téléchargement à tout le moins difficile. L’effectivité de la menace de divulgation publique de données volées en est fortement réduite. Les opérateurs de Medusa l’ont également compris et adopté deux moyens additionnels de promotion de leurs exploits et de diffusion des données volées.
Avant de diffuser effectivement les données volées, les membres de Medusa proposent au téléchargement l’arborescence des fichiers volés. Avec celle-ci, n’importe qui peut se faire une idée de ce qui a été dérobé, plus précisément qu’avec quelques captures d’écran.
À cela s’ajoutent régulièrement des vidéos de « revue » des données volées, comme déjà en mars pour celles du groupement scolaire public de Minneapolis, aux États-Unis. Initialement, ces vidéos étaient hébergées sur Vimeo ; elles le sont désormais chez BigCommand.
Vidéo, site Web, et canal Telegram
Et justement, ce 4 septembre, une vidéo de revue des données volées à Sartrouville a été publiée : « regardez ma vidéo critique, et si vous êtes intéressé, téléchargez la fuite de données pour l’étudier par vous-même », peut-on lire sur le billet de blog – accessible à tous sans passer par Tor – l’annonçant.
Ce site est lié à un compte Twitter créé en janvier 2022, ainsi qu’un compte Facebook et un canal Telegram, le tout se réclamant d’une simple et innocente démarche OSINT – ou renseignement en sources ouvertes.
De nombreux autres éléments suggèrent que le groupe Medusa (aussi appelé Medusa Ransomware, pour atténuer le risque de confusion avec MedusaLocker, avec lequel aucun lien n’est actuellement établi) était déjà actif début 2022, même s’il n’a publiquement commencé ses revendications sur son blog que début 2023.
Reste que le canal Telegram est clairement promu dans les notes déposées lors du chiffrement, par le ransomware – ce que l’on appelle les notes de rançon. Et son rôle n’est pas anodin.
Sous chaque vidéo de revue de données volées, on peut aussi lire : « nous nous excusons pour la gêne occasionnée, pour le moment, le téléchargement des fuites de données pour une étude indépendante n’est disponible que sur le télégramme du canal du projet. Le lien vers le canal télégramme se trouve sous ce message. Nous nous efforçons d’éliminer le problème ».
Mais c’est peut-être plus encore un problème pour les victimes de Medusa Ransomware. Car les téléchargements de fichiers partagés via Telegram peuvent être très rapides, considérablement plus que via Tor. Pour Sartrouville, les données ont été découpées en 124 segments de 3,8 Go, et d’un dernier de 2,2 Go, soit un total de près de 474 Go.