📰 Source : Corriere della Sera (Marco Persico), publié le 4 avril 2026. L’article relate une cyberattaque ciblée contre les Galeries des Offices de Florence, l’un des musées les plus importants au monde.

🎯 Nature de l’attaque L’attaque est décrite comme planifiée et professionnelle, avec une phase de reconnaissance prolongée (présence dans les systèmes pendant plusieurs mois). Les attaquants ont exfiltré des données avant de bloquer les systèmes et d’envoyer une demande de rançon de 300 000 € en cryptomonnaies, avec un ultimatum de 72 heures. La demande a été transmise directement sur le téléphone personnel du directeur Simone Verde, début février 2026.

📦 Données volées déclarées

  • Données comptables
  • Données personnelles des employés
  • Contacts
  • Scans d’œuvres d’art
  • Bases de données
  • Plans architecturaux et plans de sécurité
  • Mots de passe et données de messagerie/chat

⚠️ Menaces formulées Les attaquants ont menacé de publier les données sur le dark web et de les mettre aux enchères. Ils ont également suggéré la présence d’une taupe interne parmi le personnel du musée.

🔓 Vecteur d’entrée suspecté La faille exploitée serait liée à un logiciel non mis à jour utilisé pour le téléchargement de photos des œuvres d’art sur le site institutionnel du musée — un programme utilisé quotidiennement par des centaines de milliers de personnes. Ce logiciel n’aurait pas été mis à jour par le responsable informatique du musée.

🕵️ Attribution Les enquêteurs soupçonnent le groupe MedusaLocker, actif depuis 2019, connu pour cibler des infrastructures publiques et des entreprises dans des secteurs variés (santé, services, industrie). Les méthodes correspondent à des organisations cybercriminelles basées dans l’ex-Union soviétique, avec des ramifications globales. Le modèle opératoire inclut la vente de malware à des affiliés (modèle RaaS), qui reversent entre 5 et 20 % des rançons.

🏛️ Réponse institutionnelle Une enquête judiciaire a été ouverte pour tentative d’extorsion et accès illicite à des systèmes informatiques. Les techniciens de l’Agence nationale pour la cybersécurité (ACN) sont intervenus sur place. Les Offices contestent le vol de données « sensibles ».

🔗 Contexte L’article mentionne une attaque similaire survenue au même moment contre les serveurs de l’Université La Sapienza de Rome, mais précise qu’aucun lien n’est établi entre les deux incidents.

📌 Type d’article : Article de presse généraliste à visée informative, relatant un incident de cybersécurité en cours d’investigation, avec des éléments techniques fournis par un expert (Pierluigi Paganini).

🧠 TTPs et IOCs détectés

Acteurs de menace

  • MedusaLocker (cybercriminal) — Malpedia

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1083 — File and Directory Discovery (Discovery)
  • T1005 — Data from Local System (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1657 — Financial Theft (Impact)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1589.001 — Gather Victim Identity Information: Credentials (Reconnaissance)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ corriere.it — source non référencée (0pts)
  • ✅ 4919 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : MedusaLocker (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.corriere.it/cronache/26_aprile_04/gallerie-uffizi-firenze-hacker-riscatto-6a7ea91b-1cdd-4e5b-a7e6-785016903xlk.shtml