Profil de Menace : Ransomware Medusa et Storm-1175

Danger

Résumé exécutif : Medusa est une opération de Ransomware-as-a-Service (RaaS) prolifique qui a connu une forte notoriété tout au long des années 2025 et 2026. Alors que les développeurs principaux de Medusa maintiennent les charges utiles de chiffrement et l’infrastructure d’extorsion, les intrusions réseau réelles sont menées par des affiliés hautement qualifiés. Des renseignements récents sur les menaces (CTI) provenant de Microsoft et CybelAngel mettent en évidence Storm-1175, un affilié spécifique et hyper-agressif utilisant la charge utile Medusa. Storm-1175 se spécialise dans la compromission d’actifs vulnérables exposés sur le web et exécute un cycle d’attaque de 24 heures dévastateur — de l’accès initial au chiffrement total du domaine. Se défendre contre cet acteur nécessite un changement de paradigme immédiat dans la surveillance des équipements de bordure et un triage DFIR ultra-rapide.

1. Profil de l’acteur de la menace : l’affilié Storm-1175

Dans l’écosystème moderne des ransomwares, la charge utile du malware est souvent moins intéressante que l’opérateur qui la déploie. Microsoft Threat Intelligence suit l’affilié Medusa le plus redoutable sous l’identifiant Storm-1175.

Contrairement aux puristes du “Living off the Land” ou aux APT d’espionnage à progression lente, Storm-1175 opère sur un tempo de type “raid éclair” (smash-and-grab). Selon la CISA (AA25-071a) et les recherches de Microsoft, Storm-1175 contourne totalement les campagnes de phishing traditionnelles. Au lieu de cela, ils exploitent une infrastructure d’analyse automatisée et continue qui cible les équipements périmétriques non corrigés et exposés à Internet.

Cibles principales :

• les passerelles VPN vulnérables (ex: Ivanti Connect Secure, Fortinet, Palo Alto GlobalProtect).
• les points de terminaison RDP exposés.
• les applications web non corrigées et susceptibles d’exécution de code à distance (RCE).

Une fois que Storm-1175 exploite un équipement de bordure, le groupe ne tente pas d’établir une persistance furtive sur le long terme. Il pivote immédiatement vers l’exfiltration active de données et le chiffrement.

2. La kill chain de 24 heures

Les recherches publiées par CybelAngel en 2026 ont officiellement documenté le cycle d’attaque de 24 heures de Storm-1175. L’adversaire s’appuie sur une automatisation massive pour minimiser le temps de séjour (dwell time), laissant aux centres opérationnels de sécurité (SOC) une fenêtre exceptionnellement étroite pour détecter et contenir la brèche.

1. Accès initial (heure 0) : Storm-1175 exploite une vulnérabilité N-day sur une appliance périmétrique, déposant instantanément un webshell pour établir une tête de pont.
2. Reconnaissance et élévation de privilèges (heures 1-4) : l’attaquant utilise des scripts automatisés pour dumper les identifiants locaux depuis l’appliance compromise et les teste immédiatement contre les services Active Directory internes via SMB ou RDP. Ils exploitent des outils LOLBAS comme net.exe et nltest.exe pour cartographier le domaine.
3. Exfiltration de données (heures 5-18) : au lieu de chercher méticuleusement une propriété intellectuelle spécifique, Storm-1175 effectue une extraction de données en masse. Ils déploient des instances massivement multi-threadées de Rclone ou MEGAsync pour pousser rapidement les partages de fichiers et les sauvegardes de bases de données vers un stockage cloud contrôlé par l’attaquant.
4. Impact et chiffrement (heures 19-24) : après avoir confirmé que l’exfiltration est terminée, la charge utile du ransomware Medusa est déployée sur le réseau, utilisant souvent des outils de gestion légitimes (comme PDQ Deploy) ou des stratégies de groupe (GPO) de contrôleurs de domaine compromis pour garantir une exécution simultanée sur tous les terminaux.

3. La charge utile Medusa et l’escalade de l’extorsion

La charge utile du ransomware Medusa (qui chiffre les fichiers avec l’extension .MEDUSA et dépose la note de rançon !!!READ_ME_MEDUSA!!!.txt) est hautement optimisée. Elle termine les services de sauvegarde (Veeam, Backup Exec), tue les processus de bases de données (SQL, Exchange) pour libérer les verrous de fichiers, et efface les clichés instantanés de volume (Shadow Copies) en utilisant vssadmin.exe.

L’infrastructure de fuite V2

Comme analysé par l’Unit 42 de Palo Alto, le syndicat Medusa a intensifié ses tactiques d’extorsion en 2026 en déployant un site de fuite “V2” très sophistiqué sur le réseau Tor.

Pour maximiser la pression psychologique sur les victimes, le nouveau site de fuite comprend :

• une extorsion enrichie en médias : le pré-rendu de documents sensibles volés sous forme de galeries facilement lisibles directement sur le site de fuite.
• le minuteur d’extorsion : une horloge de compte à rebours offrant des options monétisées spécifiques à la victime (ex: “ajoutez 1 jour au minuteur pour 10 000 $”, “supprimez toutes les données pour 1 000 000 $”, ou “téléchargez toutes les données maintenant pour 1 000 000 $”).
• des canaux Telegram publics : la publication croisée des détails de la victime sur des canaux Telegram publics pour alerter immédiatement les journalistes et les parties prenantes, militarisant ainsi les relations publiques.

4. Triage forensique et stratégie DFIR

Parce que le cycle d’attaque de Storm-1175 est si rapide, les analystes DFIR ne peuvent pas se permettre d’attendre l’événement de chiffrement. La priorité doit être de détecter la brèche initiale du périmètre et la phase d’exfiltration en masse.

A. Chasse dans les journaux des équipements périmétriques

Les analystes doivent surveiller en permanence les équipements de bordure. Si une appliance Ivanti ou Fortinet est présente dans votre architecture, recherchez dans les journaux d’accès web le dépôt soudain de fichiers .jsp, .php ou .sh dans les répertoires web temporaires, ce qui indique le déploiement initial du webshell par Storm-1175.

B. Chasse à l’exfiltration massive

La fenêtre d’exfiltration de 13 heures est la meilleure opportunité pour la Blue Team de stopper l’attaque. Examinez les journaux de pare-feu et DNS pour détecter un trafic sortant anormal provenant de serveurs de fichiers internes (qui ne servent normalement que des clients internes) se connectant directement à des domaines de stockage cloud (mega.nz, api.dropbox.com, etc.). Consultez notre Guide d’exfiltration et de préparation de données Linux pour identifier les binaires rclone orphelins dans les répertoires /tmp.

5. Règles de détection

KQL (Exploitation de bordure Storm-1175)

hunt_storm1175_edge_compromise.kql

// Détecte les processus enfants anormaux générés par des services web périmétriques
// Indiquant un accès initial et l'exécution d'un webshell par Storm-1175
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("w3wp.exe", "httpd", "nginx", "tomcat")
| where FileName in~ ("cmd.exe", "powershell.exe", "sh", "bash", "wget", "curl")
// Filtrer pour les exécutions provenant de répertoires web communs ou de dossiers temporaires
| where ProcessCommandLine has_any ("/tmp/", "/var/tmp/", "C:\\inetpub\\wwwroot", "C:\\Windows\\Temp")
| project TimeGenerated, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine
| sort by TimeGenerated desc

Sigma (Exécution du ransomware Medusa)

sigma_medusa_encryption_behavior.yaml

title: Activité pré-chiffrement du Ransomware Medusa
id: 4e5f6a7b-8c9d-0e1f-2a3b-4c5d6e7f8a9b
status: stable
description: Détecte la séquence spécifique de commandes exécutées par la charge utile du ransomware Medusa pour entraver la récupération du système et tuer les services de base de données avant le chiffrement.
logsource:
    category: process_creation
    product: windows
detection:
    selection_vssadmin:
        Image|endswith: '\vssadmin.exe'
        CommandLine|contains|all:
            - 'delete'
            - 'shadows'
    selection_bcdedit:
        Image|endswith: '\bcdedit.exe'
        CommandLine|contains|all:
            - 'set'
            - 'recoveryenabled'
            - 'No'
    selection_services:
        Image|endswith: '\net.exe'
        CommandLine|contains: 'stop'
        CommandLine|contains|any:
            - 'sql'
            - 'msexchange'
            - 'veeam'
    condition: selection_vssadmin or selection_bcdedit or selection_services
level: critical
tags:
    - attack.impact
    - attack.t1490

6. Conclusion et remédiation

L’émergence d’affiliés hyper-accélérés comme Storm-1175 invalide complètement l’ancien paradigme selon lequel une intrusion réseau pouvait rester dormante pendant des mois avant le chiffrement. Avec une chaîne d’attaque (kill chain) de 24 heures, les organisations ne peuvent plus s’en remettre uniquement à la chasse aux menaces (threat hunting) manuelle.

La remédiation exige la mise en œuvre d’une micro-segmentation réseau stricte (empêchant les appliances de bordure d’atteindre les serveurs Active Directory internes via SMB/RDP) et l’application de blocages comportementaux sur les outils d’exfiltration non autorisés tels que rclone.

---

Sources et références

• Avis CISA : #StopRansomware: Medusa Ransomware (AA25-071a)
• Microsoft Security (2026) : Storm-1175 focuses gaze on vulnerable web-facing assets in high-tempo Medusa operations
• CybelAngel Threat Research (2026) : Storm-1175’s 24-hour attack cycle
• Palo Alto Unit 42 : Medusa Ransomware Escalation & New Leak Site
• Playbook lié : Investigation de Ransomware