Monde||5 sources
Le groupe Lazarus nord-coréen adopte le ransomware Medusa pour des attaques au Moyen-Orient et aux États-Unis
Le groupe hacker nord-coréen Lazarus utilise désormais le ransomware Medusa dans des attaques au Moyen-Orient et aux États-Unis, déléguant le chiffrement pour multiplier les cibles. Des organisations de santé américaines figurent parmi les victimes récentes.
Le groupe Lazarus, lié à la Corée du Nord, a récemment utilisé le ransomware Medusa contre une entité non nommée au Moyen-Orient et tenté, sans succès, infecter une organisation de santé aux États-Unis. Lancé en 2023 par le groupe Spearwing, Medusa est un modèle ransomware-as-a-service (RaaS), marquant un tournant dans les méthodes de Lazarus, connu pour ses souches maison comme Maui ou Play et actif sous le patronage de l’État nord-coréen depuis des années, avec des sous-groupes tels qu’Andariel depuis 2021. Traditionnellement dépendant de malwares développés en interne, Lazarus délègue désormais la phase de chiffrement à une offre existante comme Medusa. Cette stratégie libère des ressources pour se focaliser sur l’intrusion initiale, la pression psychologique sur les victimes et les négociations de rançon. Elle pourrait accélérer le rythme des opérations et élargir le spectre des cibles, au-delà des intérêts géopolitiques traditionnels, vers des proies plus opportunistes : organisations à forte capacité de paiement ou à cybersécurité défaillante. Ce partenariat renforce la menace globale posée par Medusa, qui a déjà revendiqué plus de 366 attaques. Depuis début novembre 2025, le site de fuite de Medusa recense quatre attaques contre des organisations de santé et non lucratives aux États-Unis, dont un centre pour la santé mentale et un établissement pour enfants autistes. Les demandes de rançon s’élevaient en moyenne à 260 000 dollars, bien que l’implication directe de Lazarus dans tous ces cas reste incertaine : d’autres affiliés de Medusa pourraient être responsables. Les entreprises et organisations doivent corriger les vulnérabilités exposées, imposer l’authentification multifacteur et tester régulièrement les sauvegardes. En cas d’intrusion détectée, il est impératif d’isoler les systèmes compromis et de ne pas céder à la rançon, qui finance l’économie criminelle sans aucune garantie de restitution des données.
5 sources
Article enrichi par l'IA
Cet article a été enrichi avec du contexte additionnel provenant des connaissances de l'IA (historique, comparaisons, données techniques). Les sources éditoriales restent la base factuelle.
Les cybercriminels de Lazarus adoptent le ransomware Medusa, un tournant dans leur stratégie d’extorsion
Source éditoriale·Clubic·25 févr. 2026
Les cybercriminels de Lazarus adoptent le ransomware Medusa, un tournant dans leur stratégie d'extorsion
Source éditoriale·Alvinet
Lazarus Group Uses Medusa Ransomware in Middle East and U.S. Healthcare Attacks
Source éditoriale·The Hacker News
North Korean Lazarus Group Now Working With Medusa Ransomware
Source éditoriale·SECURITY.COM
Background: Lazarus Group history with ransomware (Maui, Play, Andariel subgroup since 2021); North Korean state sponsorship context
Contexte IA