Microsoft documente les campagnes ultra-rapides de Storm-1175 avec le ransomware Medusa : exploitation de zero-days et chiffrement en moins de 24 heures. Santé et finance en première ligne.
En bref
- Microsoft Threat Intelligence documente les campagnes haute vélocité du groupe Storm-1175, affilié au ransomware Medusa.
- Le groupe exploite plus de 16 vulnérabilités connues, dont des zero-days, et déploie le ransomware en moins de 24 heures.
- Les secteurs santé, éducation et finance en Australie, au Royaume-Uni et aux États-Unis sont les plus ciblés.
Les faits
Le 6 avril 2026, Microsoft a publié une analyse détaillée des opérations du groupe Storm-1175, un acteur cybercriminel à motivation financière qui opère dans l'écosystème du ransomware Medusa (RaaS). Selon le rapport de Microsoft Threat Intelligence, ce groupe se distingue par sa vitesse d'exécution : entre l'accès initial et le chiffrement des données, il s'écoule parfois moins de 24 heures. Cette vélocité opérationnelle réduit drastiquement la fenêtre de détection et de réponse pour les équipes défensives. Source : Microsoft Security Blog, DarkReading, The Hacker News.
Storm-1175 a exploité plus de 16 vulnérabilités dans des produits d'entreprise largement déployés depuis 2023. Parmi les failles les plus récentes, au moins trois zero-days ont été utilisés, notamment la CVE-2026-23760 dans SmarterMail et la CVE-2025-10035 dans GoAnywhere Managed File Transfer. Le groupe cible systématiquement les actifs exposés sur Internet : portails web, serveurs de messagerie, passerelles de transfert de fichiers.
Impact et exposition
Les campagnes Storm-1175 opèrent en double extorsion : les données sont d'abord exfiltrées via Rclone avant le déploiement du ransomware Medusa. Le groupe utilise Bandizip pour la collecte et des commandes PowerShell encodées pour désactiver les solutions antivirus en ajoutant le lecteur C: aux exclusions. Les organisations des secteurs santé, éducation, services professionnels et finance sont les cibles principales, avec des intrusions récentes documentées en Australie, au Royaume-Uni et aux États-Unis.
Le modèle RaaS de Medusa fournit à ses affiliés un site de fuite dédié pour publier les données volées en cas de non-paiement. Cette pression sur les victimes est amplifiée quand les données concernent des patients ou des étudiants. On observe une tendance similaire dans l'attaque ChipSoft qui a paralysé des hôpitaux néerlandais la semaine dernière, et dans l'incident au Massachusetts qui a détourné des ambulances.
Recommandations
- Inventorier et patcher en priorité tous les actifs exposés sur Internet : serveurs web, messagerie, MFT, portails VPN.
- Surveiller les exclusions antivirus sur les postes et serveurs — toute modification non planifiée du répertoire d'exclusion doit déclencher une alerte.
- Déployer une solution EDR/XDR capable de détecter les mouvements latéraux rapides et l'utilisation d'outils comme Rclone et Bandizip.
- Segmenter le réseau pour limiter la propagation latérale et maintenir des sauvegardes hors ligne testées régulièrement.
Alerte critique
Avec un temps moyen de compromission inférieur à 24 heures, les approches traditionnelles de détection et réponse sont insuffisantes. Les organisations doivent s'assurer que leur capacité de réponse à incident peut être activée en quelques heures, pas en quelques jours.
Comment se protéger quand le ransomware est déployé en moins de 24 heures ?
La clé est la prévention au niveau du périmètre. Concentrez vos efforts sur la réduction de la surface d'attaque : patch management agressif sur les actifs exposés, segmentation réseau stricte, et détection automatisée des comportements suspects (exfiltration, désactivation AV, mouvement latéral). L'objectif est d'empêcher l'accès initial ou de détecter l'intrusion dans les premières minutes.
Medusa est-il lié à d'autres groupes ransomware connus ?
Medusa opère comme un Ransomware-as-a-Service (RaaS). Storm-1175 est l'un de ses affiliés les plus actifs, mais d'autres groupes utilisent la même plateforme. Le site de fuite Medusa centralise les victimes de tous les affiliés. Il ne faut pas confondre Medusa ransomware avec le botnet Medusa (variante de Mirai) qui cible les appareils IoT.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
REvil et GandCrab : la police allemande identifie les chefs
Le BKA identifie Daniil Shchukin comme le chef de GandCrab et REvil. Avec son complice, il est lié à 130 extorsions et 35 millions d'euros de dégâts en Allemagne.
CVE-2026-35616 : zero-day FortiClient EMS exploité activement
Une faille zero-day critique (CVSS 9.1) dans FortiClient EMS est activement exploitée depuis le 31 mars. Fortinet a publié un hotfix en urgence, la CISA exige un patch immédiat.
Deux experts cybersécurité US plaident coupable pour des attaques BlackCat
Deux anciens professionnels de la cybersécurité américains ont plaidé coupable pour leur rôle d'affiliés du ransomware BlackCat/ALPHV. Ils risquent 20 ans de prison.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire