Storm-1175 et Medusa ransomware : pourquoi c’est important

Microsoft Threat Intelligence a publié de nouvelles recherches sur Storm-1175, un acteur malveillant à motivation financière menant des campagnes de Medusa ransomware à rythme rapide. Le principal sujet d’inquiétude pour les défenseurs est la rapidité : le groupe cible des systèmes web exposés à Internet et peut passer de l’exploitation au déploiement du ransomware en seulement 24 heures.

Pour les équipes IT et sécurité, c’est un rappel supplémentaire que les actifs exposés à Internet, les retards dans l’application des correctifs et le manque de visibilité sur les systèmes en périphérie réduisent fortement la fenêtre de réponse.

Nouveautés

Microsoft indique que Storm-1175 a exploité plus de 16 vulnérabilités depuis 2023, en se concentrant sur l’intervalle entre la divulgation publique et l’adoption des correctifs. Les technologies ciblées incluent :

• Microsoft Exchange
• Ivanti Connect Secure and Policy Secure
• ConnectWise ScreenConnect
• JetBrains TeamCity
• Papercut
• SimpleHelp
• CrushFTP
• GoAnywhere MFT
• SmarterMail
• BeyondTrust

Fait notable, Microsoft a également observé l’acteur utiliser certains zero-day exploits, y compris dans des cas où l’exploitation a eu lieu une semaine avant la divulgation publique.

Fonctionnement de la chaîne d’attaque

Après avoir obtenu un accès via un actif web exposé et vulnérable, Storm-1175 :

• Établit généralement une persistance à l’aide d’un web shell ou d’une charge utile d’accès à distance
• Crée de nouveaux comptes locaux et les ajoute aux groupes d’administrateurs
• Utilise des LOLBins comme PowerShell et PsExec
• Se déplace latéralement avec RDP, parfois en l’activant via des modifications du pare-feu
• S’appuie sur des outils RMM comme Atera, AnyDesk, ScreenConnect, MeshAgent et SimpleHelp
• Utilise des outils comme PDQ Deployer et Impacket pour la livraison de charges utiles et les mouvements latéraux
• Vole des identifiants, altère les contrôles de sécurité, exfiltre des données et déploie Medusa ransomware

Cette combinaison d’outils d’administration légitimes et d’exécution rapide rend l’activité plus difficile à distinguer des opérations IT normales.

Impact pour les administrateurs IT

Les organisations dans les secteurs de la santé, de l’éducation, des services professionnels et de la finance ont été fortement touchées, en particulier aux États-Unis, au Royaume-Uni et en Australie. Pour les administrateurs, les principaux risques sont les suivants :

• Vulnérabilités non corrigées ou récemment divulguées sur des systèmes exposés à Internet
• Manque de visibilité sur les actifs exposés en périphérie
• Paramètres RDP et de pare-feu trop permissifs
• Utilisation non surveillée d’outils RMM dans les environnements de production

Le rapport souligne également l’importance de détecter les comportements post-compromission, et pas seulement de bloquer l’exploitation initiale.

Prochaines étapes recommandées

Les équipes sécurité et IT doivent accorder la priorité aux actions suivantes :

• Corriger rapidement les systèmes exposés, en particulier les applications web exposées à Internet
• Inventorier et surveiller en continu tous les actifs de la surface d’attaque externe
• Examiner et restreindre l’utilisation des outils RMM aux plateformes et comptes approuvés
• Auditer les nouveaux comptes administrateurs non autorisés et les modifications du pare-feu
• Surveiller toute utilisation suspecte de PowerShell, PsExec, PDQ Deploy et Impacket
• Vérifier que Defender et les règles de détection associées sont activés et correctement ajustés
• Valider les plans de reprise après ransomware, y compris les sauvegardes hors ligne et les workflows de réponse à incident

Les recommandations de Microsoft renforcent une réalité concrète : si des attaquants peuvent transformer une faille en arme en quelques jours, voire en quelques heures, les équipes sécurité ont besoin à la fois d’une application des correctifs plus rapide et d’une meilleure détection des mouvements latéraux au sein du réseau.