Selon l’extrait d’actualité fourni (26 février 2026), des équipes de menaces nord-coréennes ont été observées utilisant le ransomware Medusa, avec des activités visant notamment le secteur de la santé américain et une cible au Moyen-Orient.

🚨 Faits saillants

  • Nouvel outil: adoption de Medusa par des acteurs nord-coréens, en plus des souches Maui et Play déjà associées à eux.
  • Ciblage: une attaque au Moyen-Orient attribuée à ces acteurs ; tentative infructueuse contre une organisation de santé aux États-Unis.
  • Extorsion en cours: le site de fuites de Medusa recense des attaques contre quatre organisations de santé et à but non lucratif aux États-Unis depuis début novembre 2025.

🧠 Contexte Medusa (RaaS)

  • Opérateur: groupe cybercriminel Spearwing.
  • Modèle: ransomware-as-a-service (RaaS), des affiliés déploient la charge en échange d’un pourcentage.
  • Volume: plus de 366 attaques revendiquées par des affiliés Medusa.

🏥 Victimes et demandes

  • Parmi les victimes listées sur le site de fuites: une ONG en santé mentale et un établissement éducatif pour enfants autistes (États-Unis).
  • Demande moyenne de rançon sur la période: 260 000 $.
  • Il n’est pas établi si toutes ces victimes américaines sont liées aux opérateurs nord-coréens ou à d’autres affiliés de Medusa.

🔎 TTPs et IOCs

  • TTPs observées:
    • Usage du ransomware Medusa via un modèle RaaS.
    • Extorsion appuyée par un site de fuites (leak site) pour revendiquer les attaques.
    • Ciblage de secteurs sensibles: santé (États-Unis) et ONG/éducation; attaque confirmée au Moyen-Orient.
  • IOCs: Aucun indicateur technique (hash, domaine, IP) n’est fourni dans l’extrait.

Type d’article: analyse de menace visant à documenter l’usage de Medusa par des acteurs nord-coréens et l’empreinte d’attaques récentes, notamment contre le secteur de la santé américain.

🧠 TTPs et IOCs détectés

TTPs

Usage du ransomware Medusa via un modèle RaaS, extorsion appuyée par un site de fuites pour revendiquer les attaques, ciblage de secteurs sensibles: santé (États-Unis) et ONG/éducation; attaque confirmée au Moyen-Orient.

IOCs

Aucun indicateur technique (hash, domaine, IP) n’est fourni dans l’extrait.

🔗 Source originale : https://www.security.com/threat-intelligence/lazarus-medusa-ransomware

🖴 Archive : https://web.archive.org/web/20260226080822/https://www.security.com/threat-intelligence/lazarus-medusa-ransomware