Microsoft documente les campagnes ultra-rapides de Storm-1175 avec le ransomware Medusa : exploitation de zero-days et chiffrement en moins de 24 heures. Santé et finance en première ligne.
En bref
- Microsoft Threat Intelligence documente les campagnes haute vélocité du groupe Storm-1175, affilié au ransomware Medusa.
- Le groupe exploite plus de 16 vulnérabilités connues, dont des zero-days, et déploie le ransomware en moins de 24 heures.
- Les secteurs santé, éducation et finance en Australie, au Royaume-Uni et aux États-Unis sont les plus ciblés.
Les faits
Le 6 avril 2026, Microsoft a publié une analyse détaillée des opérations du groupe Storm-1175, un acteur cybercriminel à motivation financière qui opère dans l'écosystème du ransomware Medusa (RaaS). Selon le rapport de Microsoft Threat Intelligence, ce groupe se distingue par sa vitesse d'exécution : entre l'accès initial et le chiffrement des données, il s'écoule parfois moins de 24 heures. Cette vélocité opérationnelle réduit drastiquement la fenêtre de détection et de réponse pour les équipes défensives. Source : Microsoft Security Blog, DarkReading, The Hacker News.
Storm-1175 a exploité plus de 16 vulnérabilités dans des produits d'entreprise largement déployés depuis 2023. Parmi les failles les plus récentes, au moins trois zero-days ont été utilisés, notamment la CVE-2026-23760 dans SmarterMail et la CVE-2025-10035 dans GoAnywhere Managed File Transfer. Le groupe cible systématiquement les actifs exposés sur Internet : portails web, serveurs de messagerie, passerelles de transfert de fichiers.
Impact et exposition
Les campagnes Storm-1175 opèrent en double extorsion : les données sont d'abord exfiltrées via Rclone avant le déploiement du ransomware Medusa. Le groupe utilise Bandizip pour la collecte et des commandes PowerShell encodées pour désactiver les solutions antivirus en ajoutant le lecteur C: aux exclusions. Les organisations des secteurs santé, éducation, services professionnels et finance sont les cibles principales, avec des intrusions récentes documentées en Australie, au Royaume-Uni et aux États-Unis.
Le modèle RaaS de Medusa fournit à ses affiliés un site de fuite dédié pour publier les données volées en cas de non-paiement. Cette pression sur les victimes est amplifiée quand les données concernent des patients ou des étudiants. On observe une tendance similaire dans l'attaque ChipSoft qui a paralysé des hôpitaux néerlandais la semaine dernière, et dans l'incident au Massachusetts qui a détourné des ambulances.
Recommandations
- Inventorier et patcher en priorité tous les actifs exposés sur Internet : serveurs web, messagerie, MFT, portails VPN.
- Surveiller les exclusions antivirus sur les postes et serveurs — toute modification non planifiée du répertoire d'exclusion doit déclencher une alerte.
- Déployer une solution EDR/XDR capable de détecter les mouvements latéraux rapides et l'utilisation d'outils comme Rclone et Bandizip.
- Segmenter le réseau pour limiter la propagation latérale et maintenir des sauvegardes hors ligne testées régulièrement.
Alerte critique
Avec un temps moyen de compromission inférieur à 24 heures, les approches traditionnelles de détection et réponse sont insuffisantes. Les organisations doivent s'assurer que leur capacité de réponse à incident peut être activée en quelques heures, pas en quelques jours.
Comment se protéger quand le ransomware est déployé en moins de 24 heures ?
La clé est la prévention au niveau du périmètre. Concentrez vos efforts sur la réduction de la surface d'attaque : patch management agressif sur les actifs exposés, segmentation réseau stricte, et détection automatisée des comportements suspects (exfiltration, désactivation AV, mouvement latéral). L'objectif est d'empêcher l'accès initial ou de détecter l'intrusion dans les premières minutes.
Medusa est-il lié à d'autres groupes ransomware connus ?
Medusa opère comme un Ransomware-as-a-Service (RaaS). Storm-1175 est l'un de ses affiliés les plus actifs, mais d'autres groupes utilisent la même plateforme. Le site de fuite Medusa centralise les victimes de tous les affiliés. Il ne faut pas confondre Medusa ransomware avec le botnet Medusa (variante de Mirai) qui cible les appareils IoT.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire