Storm-0501

🔍 Contexte Le 19 mai 2026, Microsoft Threat Intelligence publie une analyse détaillée sur Fox Tempest, un acteur cybercriminel à motivation financière opérant un service de signature de malwares à la demande (Malware Signing-as-a-Service, MSaaS). En mai 2026, la Digital Crimes Unit (DCU) de Microsoft, avec le soutien de partenaires industriels, a procédé au démantèlement de l’infrastructure de ce service. 🎯 Rôle et impact de Fox Tempest Fox Tempest ne cible pas directement des victimes mais fournit une infrastructure de support à d’autres groupes cybercriminels. Microsoft suit cet acteur depuis septembre 2025. Les groupes ayant utilisé ses services incluent : ...

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft décrit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrées sur le cloud, ciblant des environnements hybrides pour escalader des privilèges dans Microsoft Entra ID et prendre le contrôle d’Azure afin d’exfiltrer et détruire des données, puis extorquer les victimes. ☁️ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises à un modèle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacités natives du cloud pour l’exfiltration rapide, la destruction de données et sauvegardes, puis la demande de rançon, sans dépendre d’un malware déployé sur endpoints. Historiquement lié à des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santé en 2023, Embargo en 2024), le groupe démontre une forte agilité dans les environnements hybrides. ...