MedusaLocker

🎯 Contexte Analyse publiée le 20 juin 2026 par Cyber Press, basée sur des recherches d’ESET, Group-IB et PRODAFT, portant sur la suite EDR killer du groupe Gentlemen, un opérateur de ransomware-as-a-service (RaaS) apparu fin 2025 et classé parmi les cinq groupes ransomware les plus actifs au T1 2026. 👤 Acteurs et structure Le groupe a été fondé par un acteur connu sous le pseudonyme hastalamuerte, ancien affilié de Qilin, avec des liens documentés vers LockBit, Embargo, Medusa et BlackLock. Brian Krebs a publié des éléments d’identification réelle de cet acteur le 10 juin 2026. Le groupe propose à ses affiliés une part de revenus de 90%. ...

🔍 Contexte Publié le 18 juin 2026 par ESET Research (Jakub Souček), cet article présente les résultats d’une investigation de plusieurs mois sur le groupe Gentlemen, un gang ransomware-as-a-service (RaaS) apparu fin 2025 et devenu l’un des plus actifs au premier trimestre 2026. L’analyse a été enrichie par une fuite de données interne du groupe survenue en mai 2026. 🎭 Profil du groupe Gentlemen Fondé par l’alias hastalamuerte (également connu sous zeta88), ancien affilié mécontent de Qilin Membres précédemment affiliés à Qilin, Embargo, LockBit, Medusa et BlackLock Offre une part de 90% aux affiliates Utilise la double extorsion (chiffrement + menace de fuite) Encrypteur Go (Windows, Linux) et variante ESXi en C Victimologie atypique : Asie du Sud-Est, Amérique du Sud, Europe de l’Ouest (pas de focus US) Sélection des victimes basée sur les mauvaises configurations FortiGate 🛠️ Arsenal EDR Killers GentleKiller (outil maison) 8 variantes documentées, chacune abusant d’un driver différent Cible plus de 400 processus mappés à 48 produits de sécurité Déployé dans le répertoire GentlemenCollection Caractéristiques communes : strings cohérentes, terminaison périodique de processus en boucle, obfuscation de code identique Intégration rapide de nouveaux BYOVD PoCs (en quelques jours) Drivers abusés par GentleKiller : eb.sys (rootkit Kaspersky PoC) nseckrnl.sys (NSecsoft NSecKrnl) GameDriverX64.sys (anti-cheat Valorant) stpm_old.sys / stpm_new.sys (Safetica ProcessMonitor) dmx.sys (Zemana WatchDog Antimalware) 360netmon_wfp.sys (Qihoo 360) IMFForceDelete (IObit ForceDelete) G11.sys / PoisonX rootkit Outils tiers intégrés : HexKiller : précédemment associé au gang Warlock, abuse googleApiUtil64.sys (Baidu Antivirus BdApi) ThrottleBlood : observé chez MedusaLocker et DragonForce, abuse ThrottleBlood.sys (TechPowerUp LLC) HavocKiller : divulgué publiquement par Huntress le 19 mars 2026, utilisé dès le 23 janvier 2026, abuse havoc.sys (Huawei Audio driver) 🛡️ Stratégie d’évasion défensive Protection binaire avancée : Enigma ou Themida Usurpation d’identité de vendors de sécurité (noms de fichiers, version info, icônes, certificats copiés invalides) Suffixes de nommage standardisés : 1 (Enigma), 2 (Themida), Light (aucun packer), Clear (aucune protection) 🔑 OxideHarvest (credential stealer) Écrit en Rust, attribué à l’affilié quant (outil nommé buildx641) Vole les credentials de navigateurs Chromium et Gecko Paramètres CLI : -i (hosts), -u (username), -p (password), -t (threads), -o (output) Emballé dans différents packers avec usurpation d’identité similaire 📋 Type d’article Publication de recherche technique par ESET Research, visant à fournir des insights exploitables sur les TTPs, IoCs et le framework EDR killer du groupe Gentlemen pour les équipes CTI et défensives. ...

📰 Source : BleepingComputer Forums — publié le 29 mai 2026 (dernière édition le 26 mai 2026 par quietman7) Contexte Le forum de support BleepingComputer documente l’évolution du groupe MedusaLocker vers une nouvelle version de leur ransomware : MedusaLocker3, également connu sous le nom FarAttack. Cette version est développée en Rust, ce qui constitue un changement technique notable par rapport aux versions précédentes. Comportement et déploiement Les acteurs malveillants déploient MedusaLocker3/FarAttack conjointement avec GlobeImposter 2.0 lors des mêmes attaques. Les deux malwares utilisent les mêmes extensions de fichiers chiffrés (.savelock**, .busavelock**, .itlock**), rendant leur distinction difficile. La seule méthode fiable pour différencier les fichiers chiffrés par l’un ou l’autre est l’analyse de la structure de pied de fichier (footer), documentée par le chercheur Demonslay335 (Michael Gillespie). L’accès initial documenté dans un cas inclus dans le fil est un compromis RDP suivi de l’utilisation de Mimikatz, de la désinstallation de l’antivirus et de Windows Defender via Defender Control. Extensions de fichiers chiffrés (liste non exhaustive) MedusaLocker3 utilise un très grand nombre d’extensions numériques variables, parmi lesquelles : .farattack, .chipslock, .Chuklock, .filesencrypted, .onelock, .marlock**, .allock**, .itlock**, .olsavelock**, .savelock**, .busavelock**, .meduza**, .readtext**, .encrypted**, .hazard**, .cipher**, .locknet, .crypto**, .zombi**, .bulock**, .doctorhelp, .recovery**, .lock**, .rapid**, .genesis**, .duralock**, .locked**, .destroy**, .attackfiles, .repair, .virus**, .nett, .run**, .pomoch**, .pomochit**, .lockfile**, .attacknew**, .foxtrot**, .foxfort**, .solution247, .247_davidhasselhoff, .spider**, .root**, .infected, .destry**, .darkdev, .gonzofortuna, .wehavesolution**, .allciphered**, .luck_**, .bbuild, .hyena**, .lucky**, .M142HIMARS, .blackheart**, .crypt**, .danger**, .ETHAN, .jackalock, .pedro, .cyberhazard**, .CRFILE**, .rans**, .cryptdata, .datarip, .ololo, .PuId**, .ApRBwPQG, .delocker**, .dataleak**, .cybertron**, .jackpot**, .jacobmccole1967@onionmail_com, .taro, .solutionwehave**, .befirst**, .Stolen**, .246510179, .prey**, .trap**, .BAGAJAI, .BAFAIAI, .ripper**, .KARMA, .happy**, .Venere**, .end**, .chip**, .strike**, .raptum**, .zollo**, .bear**, .BASANAI, .net**, .dominus**, .BARADAI, .BAVACAI, .friends** ...

📰 Source : Corriere della Sera (Marco Persico), publié le 4 avril 2026. L’article relate une cyberattaque ciblée contre les Galeries des Offices de Florence, l’un des musées les plus importants au monde. 🎯 Nature de l’attaque L’attaque est décrite comme planifiée et professionnelle, avec une phase de reconnaissance prolongée (présence dans les systèmes pendant plusieurs mois). Les attaquants ont exfiltré des données avant de bloquer les systèmes et d’envoyer une demande de rançon de 300 000 € en cryptomonnaies, avec un ultimatum de 72 heures. La demande a été transmise directement sur le téléphone personnel du directeur Simone Verde, début février 2026. ...

Les chercheurs de Kaspersky ont découvert un nouveau malware, surnommé AV killer, qui exploite le driver légitime ThrottleStop.sys pour désactiver les processus de sécurité en utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver). Cette menace a été active depuis octobre 2024, ciblant principalement des victimes en Russie, Biélorussie, Kazakhstan, Ukraine et Brésil dans le cadre de campagnes de ransomware MedusaLocker. L’accès initial a été obtenu via des attaques RDP brute force, suivi par l’utilisation de Mimikatz pour l’extraction de crédentiels, permettant ensuite un mouvement latéral avant le déploiement de l’AV killer pour désactiver les défenses à travers le réseau. ...