Un opérateur de ransomware qui a gardé un profil bas au cours des deux dernières années a décroché de l’or après une série d’attaques de ransomware réussies et très médiatisées contre des entreprises victimes.
Par BleepingOrdinateur (s’ouvre dans un nouvel onglet)le groupe menaçant connu sous le nom de Medusa remonte à juin 2021, mais il vient tout juste d’entrer sous les projecteurs après sa récente attaque contre le district des écoles publiques de Minneapolis (MPS).
Diverses sources affirment que le groupe a exigé 1 million de dollars en échange de la clé de déchiffrement, les négociations étant toujours en cours. Désormais, MPS a jusqu’au 17 mars pour payer, sous peine de voir ses données sensibles divulguées au public via un blog dédié.
Crise d’identité
Si le groupe prévoit d’être plus actif, il pourrait envisager de changer de marque. Il existe de nombreux autres acteurs de la menace sous le nom de Medusa, ce qui a donné lieu à des reportages déroutants dans les médias, déclare BleepingComputer.
Ces exemples incluent un groupe de rançongiciels entièrement différent appelé MedusaLocker, un logiciel malveillant Android appelé Medusa et un botnet Medusa basé sur le tristement célèbre Mirai.
On pense que le groupe de rançongiciels MedusaLocker a deux ans de plus que Medusa, car les premiers rapports de son activité ont commencé à apparaître en 2019. Il s’agit d’un groupe Ransomware-as-a-Service, avec plusieurs affiliés utilisant le service pour cibler les entreprises victimes.
Les deux groupes diffèrent également dans les notes de rançon qu’ils laissent. Alors que MedusaLocker laisse un fichier .HTML nommé How_to_back_files, Medusa laisse un fichier .TXT intitulé !!!READ_ME_MEDUSA!!!.
De plus, Medusa crypte les fichiers avec l’extension de fichier .MEDUSA, tandis que MedusaLocker utilise une grande variété d’extensions.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)