Home Technologie et scienceLes affiliés des Ransomware Medusa liés à Fortra Goanywhere Hacks

Les affiliés des Ransomware Medusa liés à Fortra Goanywhere Hacks

by Thomas Caron

Publié le 7 octobre 2025 à 17h37. Des chercheurs en sécurité mettent en garde contre l’exploitation active d’une vulnérabilité critique dans le logiciel de transfert de fichiers Goanywhere MFT, exploitée par le groupe de ransomware Medusa et d’autres acteurs malveillants. Des correctifs immédiats sont recommandés pour éviter de potentielles compromissions.

  • Une vulnérabilité de désérialisation (CVE-2025-10035) permet l’exécution de code à distance sur les systèmes Goanywhere MFT.
  • Le groupe de ransomware Medusa, connu pour ses attaques contre des infrastructures critiques, exploite activement cette faille.
  • L’Agence américaine de sécurité de la cybersécurité et des infrastructures (CISA) a ajouté cette vulnérabilité à son catalogue de vulnérabilités exploitées connues et a fixé une date limite de mise à jour au 20 octobre.

Des chercheurs de Microsoft ont identifié une campagne d’exploitation de la vulnérabilité CVE-2025-10035, liée au groupe d’affiliés Medusa, opérant dans le cadre d’un modèle de ransomware-as-a-service. Cette vulnérabilité de désérialisation, découverte le 11 septembre et signalée par Fortra le 18 septembre, permet à un attaquant de forger une signature de licence valide et d’injecter des commandes arbitraires, potentiellement compromettant l’ensemble du système.

La CISA a rapidement réagi en ajoutant cette vulnérabilité à son catalogue de vulnérabilités exploitées connues le 29 septembre, soulignant son utilisation active dans des campagnes de ransomware. Elle a donné aux agences civiles fédérales jusqu’au 20 octobre pour appliquer les correctifs fournis par le vendeur ou cesser d’utiliser le produit.

Les logiciels de transfert de fichiers gérés (MFT) constituent une cible privilégiée pour les extorqueurs. En début d’année 2023, le groupe Clop, spécialisé dans l’extorsion de données ciblant les MFT, avait déjà exploité une vulnérabilité zéro-jour dans Goanywhere, volant des données auprès de plus de 100 organisations. Microsoft précise que la vulnérabilité actuelle permet potentiellement aux attaquants d’injecter des commandes et d’exécuter du code à distance sur toutes les versions antérieures de Goanywhere.

Fortra recommande vivement de s’assurer que l’accès à la console d’administration Goanywhere n’est pas accessible publiquement, car l’exploitation de cette vulnérabilité dépend fortement de l’exposition des systèmes à Internet. Le fournisseur conseille également de mettre à jour vers la dernière version corrigée, soit la 7.8.4, ou la version SUST 7.6.3, et de surveiller attentivement les journaux d’audit pour détecter toute activité suspecte ou des erreurs spécifiques indiquant une exploitation.

Microsoft suit également un groupe de cybercriminalité, baptisé Storm-1175, qui exploite les applications connectées à Internet pour accéder aux réseaux de ses victimes avant de déployer le ransomware Medusa. Storm-1175 est décrit comme un groupe émergent, en développement, et dont les activités sont étroitement surveillées.

Dans le cas de l’affilié Medusa, les attaquants ont utilisé la vulnérabilité de désérialisation pour déployer des outils de surveillance et de gestion à distance légitimes, tels que SimpleHelp et Meshagent, afin de se déplacer latéralement à travers le réseau compromis. Ils ont également utilisé des outils de commande et de contrôle (C2) et un tunnel CloudFlare pour sécuriser leurs communications, ainsi que l’outil RCLONE pour exfiltrer des données vers un environnement de stockage cloud, selon les informations de Microsoft.

Le FBI avait déjà mis en garde en mars contre le ransomware Medusa, lié à plus de 300 attaques ciblant des secteurs d’infrastructures critiques tels que la santé, l’éducation, la technologie, la fabrication, les services juridiques et les assurances. Le groupe est connu pour pratiquer une triple extorsion : chiffrement des systèmes, menace de divulgation de données et demande de rançon pour un déchiffrement ou pour éviter la publication des données volées.

Des experts en sécurité signalent que Medusa propose même des sommes importantes aux employés pour faciliter l’accès aux réseaux de leurs employeurs.

La société de renseignement sur les menaces Watchtowr s’interroge sur le délai entre le début des attaques, estimé au 10 septembre, et la publication de la première alerte de sécurité par Fortra, le 18 septembre. Watchtowr a observé des attaquants exploitant la vulnérabilité pour créer un nouvel utilisateur Goanywhere avec des privilèges d’administrateur, leur permettant d’accéder et de télécharger des charges utiles malveillantes.

Le PDG de Watchtowr, Benjamin Harris, a appelé Fortra à fournir plus de détails sur la vulnérabilité, notamment sur la manière dont les attaquants ont réussi à contourner la vérification de la signature de l’entreprise. Il a souligné l’importance de la transparence pour permettre aux organisations de comprendre leur niveau d’exposition et de prendre les mesures appropriées.

« Nous espérons qu’ils partageront très prochainement des informations afin que les organisations affectées ou potentiellement affectées puissent comprendre leur exposition à une vulnérabilité activement exploitée dans la nature », a déclaré Harris. « Les clients méritent la transparence, pas le silence. »

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.