Le groupe est passé de l’accès initial au déploiement de ransomwares en 24 heures, soulignant à quel point les systèmes Web exposés et la diminution des fenêtres de correctifs augmentent les risques pour l’entreprise.
Microsoft a averti que Storm-1175, un groupe de cybercriminalité lié au ransomware Medusa, exploite les systèmes Web vulnérables dans le cadre d’attaques rapides, passant parfois de l’accès initial au vol de données et au déploiement du ransomware dans les 24 heures.
La société a déclaré que le groupe avait fortement ciblé des organisations des secteurs de la santé, de l’éducation, des services professionnels et de la finance en Australie, au Royaume-Uni et aux États-Unis, démontrant avec quelle rapidité les affiliés de ransomwares peuvent exploiter les systèmes périmétriques exposés avant que les défenseurs ne corrigent ou même ne repèrent la brèche.
Microsoft a également déclaré que Storm-1175 avait, dans certains cas, utilisé des failles zero-day avant qu’elles ne soient divulguées publiquement.
« Bien que l’auteur de la menace utilise généralement des vulnérabilités de N jours, nous avons également observé que Storm-1175 exploitait des exploits de jour zéro, dans certains cas une semaine complète avant la divulgation publique de la vulnérabilité », a déclaré Microsoft dans un article de blog. « L’acteur malveillant a également été observé enchaînant plusieurs exploits pour permettre une activité post-compromise. »
Microsoft a déclaré que le groupe avait exploité plus de 16 vulnérabilités dans des produits d’entreprise largement utilisés depuis 2023 et, dans plusieurs cas, enchaîné les exploits pour établir la persistance, voler des informations d’identification, falsifier les outils de sécurité et accélérer le déploiement de ransomwares.
« Ce à quoi nous assistons ici, c’est la mort du discours traditionnel du « temps d’arrêt » », a déclaré Sakshi Grover, directeur de recherche principal pour les services de sécurité chez IDC Asie-Pacifique. « Il ne s’agit plus d’attaquants assis tranquillement dans le réseau. Il s’agit de rapidité et d’exécution disciplinée. La tempête 1175 fonctionne comme un pipeline bien huilé. L’accès initial, l’escalade, le mouvement latéral, l’exfiltration et le déploiement de ransomwares, le tout compressé en une journée. La plupart des entreprises ne sont tout simplement pas conçues pour ce rythme. «
Grover a déclaré que la plus grande faiblesse de nombreuses organisations n’est pas la détection mais la réponse. Elle a déclaré que de nombreuses entreprises mettent encore trop de temps à isoler les systèmes concernés et à révoquer l’accès, ce qui donne aux attaquants plus de temps pour se déplacer dans les réseaux avant que les équipes puissent les contenir.
L’analyste en cybersécurité Sunil Varkey a déclaré que le passage à des opérations plus rapides contre les ransomwares signifie que les modèles traditionnels de détection et de réponse qui supposent des temps d’arrêt de plusieurs jours ou semaines ne suffisent plus, en particulier lorsque les entreprises tardent à corriger les actifs exposés à Internet et à contenir les mouvements latéraux après l’accès initial.
« La réponse la plus efficace est une stratégie proactive centrée sur une réduction agressive de la surface d’attaque, en donnant la priorité à la correction rapide des vulnérabilités et des erreurs de configuration sur tous les systèmes critiques et accessibles sur le Web, combinée à une forte segmentation et isolation du réseau », a déclaré Varkey.
Là où les entreprises sont à la traîne
De nombreuses entreprises n’ont toujours pas une vue en temps réel de ce qui est exposé sur Internet, a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research. Il a qualifié cela de faiblesse fondamentale dans la manière dont les entreprises gèrent les cyber-risques.
« La manière dont la surface d’attaque est gérée aujourd’hui reflète encore un état d’esprit plus ancien », a déclaré Gogia. « Découvrez les actifs, analysez-les, hiérarchisez les problèmes, planifiez les correctifs. C’est ordonné et logique, mais pas assez rapide. Les environnements changent tout le temps. Les systèmes sont lancés pour des projets, ouverts à Internet pour plus de commodité, puis laissés de côté. Au fil du temps, ceux-ci deviennent invisibles pour les équipes centrales, même s’ils restent visibles pour les attaquants. »
Gogia a déclaré que le problème est aggravé par la fragmentation de la propriété. Les systèmes accessibles sur Internet recoupent souvent différentes équipes, ce qui brouille les responsabilités et ralentit la réponse lorsque des risques apparaissent.
La tempête 1175 semble exploiter exactement cette lacune. Ses changements rapides entre les vulnérabilités et l’utilisation d’exploits en chaîne suggèrent que les attaquants profitent des entreprises qui n’ont pas une vue à jour de leur exposition externe.
Keith Prabhu, fondateur et PDG de Confidis, a déclaré que l’utilisation généralisée de bibliothèques open source et d’autres composants nécessitant un suivi et des correctifs constants rend la tâche encore plus difficile.
« Un attaquant intelligent comme Storm-1175 peut rapidement prendre des empreintes digitales sur de tels systèmes et développer des attaques personnalisées enchaînant plusieurs exploits », a déclaré Prabhu. « La gestion efficace des correctifs de cette pile technologique complexe constitue aujourd’hui la plus grande faiblesse de la gestion de la surface d’attaque des entreprises, en particulier pour les systèmes exposés à Internet. »
