La bonne nouvelle ? Les taux d’attaques par ransomware sont globalement en baisse. En 2025, un peu plus de 60 % des entreprises ont signalé avoir subi des attaques par ransomware : le chiffre le plus bas depuis 2020.
La mauvaise nouvelle ? Les pirates changent de tactique. Comme le souligne une récente analyse de Microsoft Security, l’acteur malveillant Storm-0501 déplace désormais ses attaques par ransomware hors des environnements locaux, mettant en danger à la fois les environnements hybrides et les environnements cloud. Voici ce que vous devez savoir.
Comment : les bases de l’attaque Storm-0501
Les déploiements de ransomwares se produisent traditionnellement sur site. Les pirates compromettent les réseaux locaux et y déploient des charges utiles malveillantes. Une fois exécutées, ces charges chiffrent des fichiers essentiels, et les hackers exigent une rançon en échange de la clé de déchiffrement.
Jusqu’à récemment, Storm-0501 suivait ce mode opératoire. Mais en 2024, cet acteur malveillant a déployé une nouvelle souche de malware capable de compromettre les environnements cloud. L’attaque commence par l’établissement d’un point d’ancrage. Les cybercriminels compromettent les environnements Active Directory, puis s’attaquent à Microsoft Entra ID. Ensuite, ils élèvent leurs privilèges afin d’obtenir un contrôle de niveau administrateur.
Cela leur permet d’ajouter des domaines fédérés offrant un accès illimité au réseau, et également de déployer du ransomware sur site. Le résultat : un double coup. Avec un ransomware traditionnel, les pirates peuvent chiffrer les données sur site et exiger un paiement pour leur récupération. Tirant parti d’un accès complet au cloud, ils peuvent exfiltrer les actifs stockés, supprimer les sauvegardes et retenir les données contre rançon.
Quoi : Conditions courantes de compromission
Le secret du succès de Storm-0501 réside dans cette double approche de la compromission, qui exploite l’espace situé entre les déploiements sur site et les déploiements cloud.
En résumé : les environnements hybrides sont plus complexes que leurs équivalents purement locaux. Pour tirer parti à la fois des ressources cloud et locales, les entreprises doivent construire des ponts numériques entre des ressources, services et applications disparates. C’est cette zone grise numérique qui crée des vulnérabilités.
Microsoft illustre cette réalité avec l’analyse d’une attaque basée sur Storm-0501. L’entreprise ciblée possédait plusieurs filiales, chacune ayant son propre ensemble de locataires cloud Azure, distincts mais interconnectés. Chacun de ces locataires présentait un niveau de sécurité différent, et un seul utilisait Microsoft Defender for Endpoint. De plus, Microsoft a constaté que plusieurs domaines Active Directory étaient synchronisés avec plus d’un locataire, ce qui compliquait la gestion et la surveillance des instances cloud par les équipes informatiques.
L’attaque a débuté par de multiples compromissions des systèmes sur site. Les attaquants ont ensuite utilisé des commandes comme « sc query sense » et « sc query windefend » pour vérifier si Defender for Endpoint était actif. Si c’était le cas, ils recouraient à un outil PowerShell via Windows Remote Management (WinRM), connu sous le nom d’Evil-WinRM, pour se déplacer latéralement. Une fois les systèmes dépourvus de défense active identifiés, ils ont lancé une attaque DCSync afin de simuler un contrôleur de domaine et demander les hachages de mots de passe de tous les utilisateurs actifs. Cela leur a permis d’obtenir un accès quasi complet aux locataires cloud et aux données qu’ils contenaient, facilitant ainsi l’exfiltration et le chiffrement.
Une fois le processus achevé, les pirates ont utilisé un compte Teams associé à une identité compromise de l’entreprise pour contacter des dirigeants et exiger une rançon.
Où : les domaines nécessitant une protection renforcée
D’après Sherrod DeGrippo, directrice de la veille sur les menaces chez Microsoft, Storm-0501 représente un risque majeur. « Cet acteur malveillant s’adapte rapidement et cible ses victimes indépendamment des secteurs », explique-t-elle. « Storm-0501 a montré sa capacité à changer rapidement de tactique et à viser un large éventail de secteurs, ce qui signifie que toute organisation utilisant des services cloud pourrait être une cible. »
Pour les entreprises, ce déplacement des attaques vers le cloud souligne la nécessité de renforcer la protection dans trois domaines clés :
Détection
Plus tôt une entreprise détecte une compromission potentielle, mieux elle peut éliminer les problèmes et limiter les impacts. En pratique, cela suppose la mise en place de solutions comme la détection et réponse sur les terminaux (EDR), qui vont au-delà des antivirus classiques et bloquent les menaces sur la base de règles comportementales ou de conditions opérationnelles personnalisées.
Access
Quelle que soit la nature ou la cible du ransomware, les entreprises bénéficient toujours de l’application du principe du moindre privilège : moins il y a de personnes avec des droits administrateur, mieux c’est.
Cela commence par des solutions comme l’authentification multifacteur (MFA). En obligeant les utilisateurs à fournir un élément qu’ils possèdent ou qui les identifie, en plus d’une information qu’ils connaissent, les entreprises réduisent le risque de compromission. Viennent ensuite les politiques d’accès conditionnel. Au lieu d’une vérification unique ponctuelle, ces politiques évaluent plusieurs facteurs à chaque tentative de connexion. Par exemple, si un utilisateur se connecte en dehors de ses horaires habituels et depuis un nouvel emplacement, l’accès conditionnel peut exiger une vérification supplémentaire.
Ces avantages ne sont pas théoriques : selon l’analyse de Microsoft, la première tentative de connexion des pirates en tant qu’utilisateurs privilégiés sur des locataires hybrides compromis a échoué grâce à la MFA et à l’accès conditionnel, les obligeant à changer de domaine et à réessayer.
Stockage
La réussite des attaques par ransomware repose sur la compromission du stockage via le chiffrement, l’exfiltration ou la suppression. Améliorer les processus de stockage des données peut donc perturber les plans des pirates. Un exemple est le stockage immuable, aussi bien pour les données dans le cloud que pour les sauvegardes. Le principe est simple : ces données ne peuvent pas être modifiées. Les entreprises définissent leurs politiques, par exemple « écriture unique, lectures multiples » (WORM), et ont ainsi la certitude que les données ne seront pas altérées. Ce type de stockage est particulièrement utile pour les sauvegardes. Même si des pirates parviennent à compromettre et à supprimer certains actifs essentiels, l’entreprise peut restaurer et réinjecter les données non corrompues une fois la menace neutralisée.
Résister à la tempête
Alors que la sécurité sur site s’améliore, les pirates utilisent les clouds hybrides comme nouvelles portes d’entrée. Pour de nombreuses entreprises, la multiplicité des domaines et des locataires des environnements cloud est source de vulnérabilités, surtout si les pratiques de sécurité ne sont pas homogènes sur l’ensemble des réseaux des filiales.
Résister à la tempête implique l’adoption d’une approche de la protection en trois volets : privilégier la détection, limiter les accès et mettre en place une méthode de restauration complète des données.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
