En bref

  • Microsoft Threat Intelligence documente les campagnes haute vélocité du groupe Storm-1175, affilié au ransomware Medusa.
  • Le groupe exploite plus de 16 vulnérabilités connues, dont des zero-days, et déploie le ransomware en moins de 24 heures.
  • Les secteurs santé, éducation et finance en Australie, au Royaume-Uni et aux États-Unis sont les plus ciblés.

Les faits

Le 6 avril 2026, Microsoft a publié une analyse détaillée des opérations du groupe Storm-1175, un acteur cybercriminel à motivation financière qui opère dans l'écosystème du ransomware Medusa (RaaS). Selon le rapport de Microsoft Threat Intelligence, ce groupe se distingue par sa vitesse d'exécution : entre l'accès initial et le chiffrement des données, il s'écoule parfois moins de 24 heures. Cette vélocité opérationnelle réduit drastiquement la fenêtre de détection et de réponse pour les équipes défensives. Source : Microsoft Security Blog, DarkReading, The Hacker News.

Storm-1175 a exploité plus de 16 vulnérabilités dans des produits d'entreprise largement déployés depuis 2023. Parmi les failles les plus récentes, au moins trois zero-days ont été utilisés, notamment la CVE-2026-23760 dans SmarterMail et la CVE-2025-10035 dans GoAnywhere Managed File Transfer. Le groupe cible systématiquement les actifs exposés sur Internet : portails web, serveurs de messagerie, passerelles de transfert de fichiers.

Impact et exposition

Les campagnes Storm-1175 opèrent en double extorsion : les données sont d'abord exfiltrées via Rclone avant le déploiement du ransomware Medusa. Le groupe utilise Bandizip pour la collecte et des commandes PowerShell encodées pour désactiver les solutions antivirus en ajoutant le lecteur C: aux exclusions. Les organisations des secteurs santé, éducation, services professionnels et finance sont les cibles principales, avec des intrusions récentes documentées en Australie, au Royaume-Uni et aux États-Unis.

Le modèle RaaS de Medusa fournit à ses affiliés un site de fuite dédié pour publier les données volées en cas de non-paiement. Cette pression sur les victimes est amplifiée quand les données concernent des patients ou des étudiants. On observe une tendance similaire dans l'attaque ChipSoft qui a paralysé des hôpitaux néerlandais la semaine dernière, et dans l'incident au Massachusetts qui a détourné des ambulances.

Recommandations

  • Inventorier et patcher en priorité tous les actifs exposés sur Internet : serveurs web, messagerie, MFT, portails VPN.
  • Surveiller les exclusions antivirus sur les postes et serveurs — toute modification non planifiée du répertoire d'exclusion doit déclencher une alerte.
  • Déployer une solution EDR/XDR capable de détecter les mouvements latéraux rapides et l'utilisation d'outils comme Rclone et Bandizip.
  • Segmenter le réseau pour limiter la propagation latérale et maintenir des sauvegardes hors ligne testées régulièrement.

Alerte critique

Avec un temps moyen de compromission inférieur à 24 heures, les approches traditionnelles de détection et réponse sont insuffisantes. Les organisations doivent s'assurer que leur capacité de réponse à incident peut être activée en quelques heures, pas en quelques jours.

Comment se protéger quand le ransomware est déployé en moins de 24 heures ?

La clé est la prévention au niveau du périmètre. Concentrez vos efforts sur la réduction de la surface d'attaque : patch management agressif sur les actifs exposés, segmentation réseau stricte, et détection automatisée des comportements suspects (exfiltration, désactivation AV, mouvement latéral). L'objectif est d'empêcher l'accès initial ou de détecter l'intrusion dans les premières minutes.

Medusa est-il lié à d'autres groupes ransomware connus ?

Medusa opère comme un Ransomware-as-a-Service (RaaS). Storm-1175 est l'un de ses affiliés les plus actifs, mais d'autres groupes utilisent la même plateforme. Le site de fuite Medusa centralise les victimes de tous les affiliés. Il ne faut pas confondre Medusa ransomware avec le botnet Medusa (variante de Mirai) qui cible les appareils IoT.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Articles connexes :

Demander un audit