📰 Source : BleepingComputer Forums — publié le 29 mai 2026 (dernière édition le 26 mai 2026 par quietman7)

Contexte

Le forum de support BleepingComputer documente l’évolution du groupe MedusaLocker vers une nouvelle version de leur ransomware : MedusaLocker3, également connu sous le nom FarAttack. Cette version est développée en Rust, ce qui constitue un changement technique notable par rapport aux versions précédentes.

Comportement et déploiement

  • Les acteurs malveillants déploient MedusaLocker3/FarAttack conjointement avec GlobeImposter 2.0 lors des mêmes attaques.
  • Les deux malwares utilisent les mêmes extensions de fichiers chiffrés (.savelock**, .busavelock**, .itlock**), rendant leur distinction difficile.
  • La seule méthode fiable pour différencier les fichiers chiffrés par l’un ou l’autre est l’analyse de la structure de pied de fichier (footer), documentée par le chercheur Demonslay335 (Michael Gillespie).
  • L’accès initial documenté dans un cas inclus dans le fil est un compromis RDP suivi de l’utilisation de Mimikatz, de la désinstallation de l’antivirus et de Windows Defender via Defender Control.

Extensions de fichiers chiffrés (liste non exhaustive)

MedusaLocker3 utilise un très grand nombre d’extensions numériques variables, parmi lesquelles : .farattack, .chipslock, .Chuklock, .filesencrypted, .onelock, .marlock**, .allock**, .itlock**, .olsavelock**, .savelock**, .busavelock**, .meduza**, .readtext**, .encrypted**, .hazard**, .cipher**, .locknet, .crypto**, .zombi**, .bulock**, .doctorhelp, .recovery**, .lock**, .rapid**, .genesis**, .duralock**, .locked**, .destroy**, .attackfiles, .repair, .virus**, .nett, .run**, .pomoch**, .pomochit**, .lockfile**, .attacknew**, .foxtrot**, .foxfort**, .solution247, .247_davidhasselhoff, .spider**, .root**, .infected, .destry**, .darkdev, .gonzofortuna, .wehavesolution**, .allciphered**, .luck_**, .bbuild, .hyena**, .lucky**, .M142HIMARS, .blackheart**, .crypt**, .danger**, .ETHAN, .jackalock, .pedro, .cyberhazard**, .CRFILE**, .rans**, .cryptdata, .datarip, .ololo, .PuId**, .ApRBwPQG, .delocker**, .dataleak**, .cybertron**, .jackpot**, .jacobmccole1967@onionmail_com, .taro, .solutionwehave**, .befirst**, .Stolen**, .246510179, .prey**, .trap**, .BAGAJAI, .BAFAIAI, .ripper**, .KARMA, .happy**, .Venere**, .end**, .chip**, .strike**, .raptum**, .zollo**, .bear**, .BASANAI, .net**, .dominus**, .BARADAI, .BAVACAI, .friends**

Notes de rançon

Les fichiers de note de rançon déposés incluent : How_to_back_files.html, HOW_TO_BACK_FILES.html, How_to_back_files.hta, How_to_recovery.txt, Read Me!.hTa, HOW_TO_RECOVER_YOUR_DATA.html, HOW_TO_RECOVER_DATA.html, Recovery_Instructions.html, !-Recovery_Instructions-!.html, !_HOW_RECOVERY_FILES_!.HTML, !!!HOW_TO_DECRYPT!!!.mht, READ_NOTE.html, read_this_to_decrypt_files.html, read_to_decrypt_files.html, RETURN_DATA.html, READ_THIS_NOTE.html, DATA_RECOVERY.html, UFFIZI_README.html, Recovery_README.html, RANSOM_NOTE.html, WHATS_HAPPEND.txt

Identifiant personnel (PERSONAL ID)

Les notes de rançon contiennent un identifiant personnel de 1618 caractères hexadécimaux en tête de note, correspondant à une chaîne base64 de 0x500 octets décodés.

Contact attaquant

La note de rançon analysée dans le fil mentionne l’email de contact uncrypt2022@outlook.com et invite à créer un compte sur protonmail.com pour la communication.

📌 Type d’article : analyse technique et fil de support communautaire documentant les variantes, IOCs et comportements du ransomware MedusaLocker3/FarAttack à des fins d’identification et de réponse à incident.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • MedusaLocker (cybercriminal) —

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1078 — Valid Accounts (Initial Access)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)

IOC

  • SHA1 : a4f1fd28bdf98886b28b801fd0456a8342e74a1cVT · MalwareBazaar
  • Emails : uncrypt2022@outlook.com
  • Fichiers : How_to_back_files.html
  • Fichiers : HOW_TO_BACK_FILES.html
  • Fichiers : How_to_back_files.hta
  • Fichiers : How_to_recovery.txt
  • Fichiers : Read Me!.hTa
  • Fichiers : HOW_TO_RECOVER_YOUR_DATA.html
  • Fichiers : HOW_TO_RECOVER_DATA.html
  • Fichiers : Recovery_Instructions.html
  • Fichiers : !-Recovery_Instructions-!.html
  • Fichiers : !_HOW_RECOVERY_FILES_!.HTML
  • Fichiers : !!!HOW_TO_DECRYPT!!!.mht
  • Fichiers : READ_NOTE.html
  • Fichiers : read_this_to_decrypt_files.html
  • Fichiers : read_to_decrypt_files.html
  • Fichiers : RETURN_DATA.html
  • Fichiers : READ_THIS_NOTE.html
  • Fichiers : DATA_RECOVERY.html
  • Fichiers : UFFIZI_README.html
  • Fichiers : Recovery_README.html
  • Fichiers : RANSOM_NOTE.html
  • Fichiers : WHATS_HAPPEND.txt

Malware / Outils

  • MedusaLocker3 (ransomware)
  • FarAttack (ransomware)
  • GlobeImposter 2.0 (ransomware)
  • Mimikatz (tool)
  • Defender Control (tool)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 7975 chars — texte complet (15pts)
  • ✅ 23 IOCs dont des hashes (15pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : MedusaLocker (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/forums/t/770025/medusalocker3farattack-ransomware-farattack-itlock-busavelock-support/