Les cybercriminels entretiennent également leur image externe en plus de la communication directe avec la victime. Parce que la réputation est un facteur de succès important pour les entreprises de ransomware-as-a-service. La majorité du travail de relations publiques se déroule sur le dark web. Mais des groupes comme Medusa communiquent avec et à propos de leurs victimes sur Internet et via les réseaux sociaux.
Le célèbre groupe de ransomwares Medusa – à ne pas confondre avec le blog de ransomwares MedusaLocker – est actif depuis 2023. Cette année-là, Medusa dénombrait 145 victimes : un décompte que le groupe avait déjà quasiment stoppé en août 2024. D'ici la fin de l'année, le nombre total de victimes devrait s'élever à 210.
Toujours à la recherche des points faibles
Sans focalisation régionale et à fort impact, Medusa utilise ses attaques opportunistes pour rechercher des vulnérabilités dans les entreprises et les organisations des secteurs de la santé, de l'industrie, de l'éducation, des autorités et de la finance. Les soi-disant affiliés, les hackers professionnels, qui en tant que « fournisseurs » indépendants sont essentiels au succès économique, sont recherchés et donc coûteux, profitent particulièrement des bénéfices. Ils constituent évidemment un groupe cible de la communication externe cybercriminelle.
Contrairement à la plupart des concurrents du secteur de la cybercriminalité, le groupe a également établi une présence sur la partie généralement accessible d'Internet en plus de ses activités traditionnelles sur le dark web. Tous les quelques jours, ils publiaient des nouvelles de fuites et de ransomwares actifs sur un blog injurieux et sur les plateformes sociales X et Telegram.
Canal de communication 1 : Le blog Medusa
🔎 Le blog Medusa sur le Darknet présente les classiques avec des comptes à rebours, les options de paiement et des informations sur les paiements Bitcoin (Image : Bitdefender).
Medusa dénonce spécifiquement ses victimes sur un blog accessible via Tor, qui vérifie professionnellement l'identité de ses lecteurs à l'aide de CAPTCHA après chaque mise à jour de page. Le blog fournit des informations sur les victimes touchées par les attaques et sur les données volées ou exposées. Un compte à rebours indique combien de temps il reste aux victimes pour contacter le groupe et payer une rançon en Bitcoin. La victime peut choisir entre plusieurs options : payer pour télécharger les données, supprimer les données volées en possession des pirates ou prolonger le délai de rançon. Certains articles ont été consultés par plus de 4.000 XNUMX lecteurs.
Contact via OSINT sans frontières
OSINT Without Borders (osintcorp.net) est un blog apparemment inoffensif contenant des informations sur les failles de sécurité, les fuites et les activités des pirates informatiques. Plusieurs experts en cybersécurité soupçonnent que Medusa dirige ce projet. Ceci est corroboré par le fait que le site Web officiel de fuite de données Medusa est lié à une chaîne Telegram sous le logo OSINT Without Borders. Le propriétaire du site sintcorp.net fait souvent référence au groupe d’une manière qui suggère un lien étroit. L'opérateur présumé pourrait poursuivre différents objectifs avec ce site Internet : Une grande réputation dans les milieux criminels attire des affiliés. De plus, des informations sur les accès non autorisés aux données ou sur des attaques similaires peuvent être collectées et de nouvelles cibles peuvent éventuellement être trouvées.
La communication sur OSINT Sans Frontières est assez professionnelle. Plusieurs publications contiennent des informations sur le téléchargement de contenu divulgué et sont accompagnées de publications vidéo. À la fin de chaque article, les auteurs soulignent qu’ils ne font que fournir des informations, qu’ils ne donnent pas de conseils et qu’ils ne sont pas impliqués dans des activités illégales.
Contact sur X et Facebook
🔎 Medusa communique sur X (et Facebook) avec les profils de Robert Vroofdown et Robert Enaber (Image : Bitdefender).
De plus, deux comptes de réseaux sociaux actifs fonctionnent au nom du blog Medusa : le Les deux identités ne peuvent être attribuées à aucune région, emplacement ou réseau. Une telle communication va à l’encontre de toutes les habitudes et conventions des opérateurs de ransomwares. Jusqu'en 2022, OSINT sans frontières exploitait une chaîne YouTube.
Communication ultérieure via Telegram
Les liens sur osintcorp.net dirigent l'utilisateur vers un canal d'assistance Telegram qui est apparemment actif depuis juillet 2021 et qui rend compte de Medusa depuis novembre 2022. L'utilisation de Telegram par Medusa se distingue par sa facilité d'accès, ses identités osintcorp évidemment liées et la présence constante de plus de 700 fichiers partagés.
Risques de communication pour les cybercriminels
L'échange en toute confiance de données et d'informations sur les victimes sur Internet n'est pas sans risque pour les cybercriminels. À l'un des Les observateurs du Dark Web ont pu détecter l’attaque révélée par Dark Atlas à l’été 2024 sur cette base, exploiter une faille dans la cybersécurité des processus criminels opérationnels au profit des victimes. Le compte cloud de Medusa a été involontairement rendu visible et accessible au mauvais groupe. En utilisant les données des utilisateurs, les spécialistes ont commencé à supprimer les informations sur les victimes, à télécharger des données et à aider les victimes à se rétablir.
Réputation avec risque pour les attaquants et opportunités pour la défense
Medusa a cultivé une image complètement nouvelle dans le secteur des ransomwares en quête d’anonymat. Comprendre leurs méthodes de communication dans le temps – ainsi que celles de leurs compétences actuelles – est crucial pour comprendre les forces du groupe et ses faiblesses récentes.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de