Barracuda full logo

Choc du système : le ransomware Storm-0501 migre vers le cloud

Thèmes:
17 sept. 2025
|

La bonne nouvelle ? Les taux d’attaques par ransomware sont globalement en baisse. En 2025, un peu plus de 60 % des entreprises ont signalé avoir subi des attaques par ransomware : le chiffre le plus bas depuis 2020.

La mauvaise nouvelle ? Les pirates changent de tactique. Comme le souligne une récente analyse de Microsoft Security, l’acteur malveillant Storm-0501 déplace désormais ses attaques par ransomware hors des environnements locaux, mettant en danger à la fois les environnements hybrides et les environnements cloud. Voici ce que vous devez savoir.

Comment : les bases de l’attaque Storm-0501

Les déploiements de ransomwares se produisent traditionnellement sur site. Les pirates compromettent les réseaux locaux et y déploient des charges utiles malveillantes. Une fois exécutées, ces charges chiffrent des fichiers essentiels, et les hackers exigent une rançon en échange de la clé de déchiffrement.

Jusqu’à récemment, Storm-0501 suivait ce mode opératoire. Mais en 2024, cet acteur malveillant a déployé une nouvelle souche de malware capable de compromettre les environnements cloud. L’attaque commence par l’établissement d’un point d’ancrage. Les cybercriminels compromettent les environnements Active Directory, puis s’attaquent à Microsoft Entra ID. Ensuite, ils élèvent leurs privilèges afin d’obtenir un contrôle de niveau administrateur.

Cela leur permet d’ajouter des domaines fédérés offrant un accès illimité au réseau, et également de déployer du ransomware sur site. Le résultat : un double coup. Avec un ransomware traditionnel, les pirates peuvent chiffrer les données sur site et exiger un paiement pour leur récupération. Tirant parti d’un accès complet au cloud, ils peuvent exfiltrer les actifs stockés, supprimer les sauvegardes et retenir les données contre rançon.

Quoi : Conditions courantes de compromission

Le secret du succès de Storm-0501 réside dans cette double approche de la compromission, qui exploite l’espace situé entre les déploiements sur site et les déploiements cloud.

En résumé : les environnements hybrides sont plus complexes que leurs équivalents purement locaux. Pour tirer parti à la fois des ressources cloud et locales, les entreprises doivent construire des ponts numériques entre des ressources, services et applications disparates. C’est cette zone grise numérique qui crée des vulnérabilités.

Microsoft illustre cette réalité avec l’analyse d’une attaque basée sur Storm-0501. L’entreprise ciblée possédait plusieurs filiales, chacune ayant son propre ensemble de locataires cloud Azure, distincts mais interconnectés. Chacun de ces locataires présentait un niveau de sécurité différent, et un seul utilisait Microsoft Defender for Endpoint. De plus, Microsoft a constaté que plusieurs domaines Active Directory étaient synchronisés avec plus d’un locataire, ce qui compliquait la gestion et la surveillance des instances cloud par les équipes informatiques.

L’attaque a débuté par de multiples compromissions des systèmes sur site. Les attaquants ont ensuite utilisé des commandes comme « sc query sense » et « sc query windefend » pour vérifier si Defender for Endpoint était actif. Si c’était le cas, ils recouraient à un outil PowerShell via Windows Remote Management (WinRM), connu sous le nom d’Evil-WinRM, pour se déplacer latéralement. Une fois les systèmes dépourvus de défense active identifiés, ils ont lancé une attaque DCSync afin de simuler un contrôleur de domaine et demander les hachages de mots de passe de tous les utilisateurs actifs. Cela leur a permis d’obtenir un accès quasi complet aux locataires cloud et aux données qu’ils contenaient, facilitant ainsi l’exfiltration et le chiffrement.

Une fois le processus achevé, les pirates ont utilisé un compte Teams associé à une identité compromise de l’entreprise pour contacter des dirigeants et exiger une rançon.

Où : les domaines nécessitant une protection renforcée

D’après Sherrod DeGrippo, directrice de la veille sur les menaces chez Microsoft, Storm-0501 représente un risque majeur. « Cet acteur malveillant s’adapte rapidement et cible ses victimes indépendamment des secteurs », explique-t-elle. « Storm-0501 a montré sa capacité à changer rapidement de tactique et à viser un large éventail de secteurs, ce qui signifie que toute organisation utilisant des services cloud pourrait être une cible. »

Pour les entreprises, ce déplacement des attaques vers le cloud souligne la nécessité de renforcer la protection dans trois domaines clés :

Détection

Plus tôt une entreprise détecte une compromission potentielle, mieux elle peut éliminer les problèmes et limiter les impacts. En pratique, cela suppose la mise en place de solutions comme la détection et réponse sur les terminaux (EDR), qui vont au-delà des antivirus classiques et bloquent les menaces sur la base de règles comportementales ou de conditions opérationnelles personnalisées. 

Access

Quelle que soit la nature ou la cible du ransomware, les entreprises bénéficient toujours de l’application du principe du moindre privilège : moins il y a de personnes avec des droits administrateur, mieux c’est. 

Cela commence par des solutions comme l’authentification multifacteur (MFA). En obligeant les utilisateurs à fournir un élément qu’ils possèdent ou qui les identifie, en plus d’une information qu’ils connaissent, les entreprises réduisent le risque de compromission. Viennent ensuite les politiques d’accès conditionnel. Au lieu d’une vérification unique ponctuelle, ces politiques évaluent plusieurs facteurs à chaque tentative de connexion. Par exemple, si un utilisateur se connecte en dehors de ses horaires habituels et depuis un nouvel emplacement, l’accès conditionnel peut exiger une vérification supplémentaire. 

Ces avantages ne sont pas théoriques : selon l’analyse de Microsoft, la première tentative de connexion des pirates en tant qu’utilisateurs privilégiés sur des locataires hybrides compromis a échoué grâce à la MFA et à l’accès conditionnel, les obligeant à changer de domaine et à réessayer. 

Stockage

La réussite des attaques par ransomware repose sur la compromission du stockage via le chiffrement, l’exfiltration ou la suppression. Améliorer les processus de stockage des données peut donc perturber les plans des pirates. Un exemple est le stockage immuable, aussi bien pour les données dans le cloud que pour les sauvegardes. Le principe est simple : ces données ne peuvent pas être modifiées. Les entreprises définissent leurs politiques, par exemple « écriture unique, lectures multiples » (WORM), et ont ainsi la certitude que les données ne seront pas altérées. Ce type de stockage est particulièrement utile pour les sauvegardes. Même si des pirates parviennent à compromettre et à supprimer certains actifs essentiels, l’entreprise peut restaurer et réinjecter les données non corrompues une fois la menace neutralisée.

Résister à la tempête

Alors que la sécurité sur site s’améliore, les pirates utilisent les clouds hybrides comme nouvelles portes d’entrée. Pour de nombreuses entreprises, la multiplicité des domaines et des locataires des environnements cloud est source de vulnérabilités, surtout si les pratiques de sécurité ne sont pas homogènes sur l’ensemble des réseaux des filiales.

Résister à la tempête implique l’adoption d’une approche de la protection en trois volets : privilégier la détection, limiter les accès et mettre en place une méthode de restauration complète des données. 

Rapport 2025 sur les ransomwares
Billets associés :
Mois de la sensibilisation à la cybersécurité : il est temps de vous occuper de votre backlog de vulnérabilités
Mois de la sensibilisation à la cybersécurité : il est temps de vous occuper de votre backlog de vulnérabilités
 Comment BMAT Schools Trust garde une longueur d’avance sur les cybermenaces avec Barracuda
Comment BMAT Schools Trust garde une longueur d’avance sur les cybermenaces avec Barracuda
 Confronter le côté obscur de l’IA générative : recommandations pour les dirigeants, RSSI et équipes de sécurité
Confronter le côté obscur de l’IA générative : recommandations pour les dirigeants, RSSI et équipes de sécurité
 Les dossiers du SOC : le ransomware Akira retourne l'outil de gestion à distance des victimes contre lui-même
Les dossiers du SOC : le ransomware Akira retourne l'outil de gestion à distance des victimes contre lui-même
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.