Les cybercriminels continuent leurs attaques soutenues contre les serveurs SharePoint. Les vulnérabilités sont ciblées par des ransomwares depuis plusieurs semaines pour chiffrer les fichiers et exiger des rançons.
Depuis la découverte de plusieurs vulnérabilités critiques dans SharePoint en juillet, la plateforme documentaire est devenue une cible privilégiée. Selon Unit 42, l’équipe de recherche de la société de sécurité Palo Alto, les pirates développent de nouvelles variantes d’attaques et de ransomwares pour exploiter ces vulnérabilités.
Les chercheurs ont détecté une campagne active de ransomware où les attaquants exploitent quatre vulnérabilités dans SharePoint, notamment CVE-2025-53770 et CVE-2025-49706. Les attaques conduisent au déploiement du ransomware 4L4MD4R, qui chiffre les fichiers et exige une rançon. Dans un blog, la méthode d’attaque est décrite en détail.
SharePoint attaqué par ransomware
Les vulnérabilités sont activement exploitées depuis le 17 juillet 2025. Les attaques ciblent les serveurs SharePoint via une chaîne d’attaque connue sous le nom de ToolShell. Une tentative échouée le 27 juillet a conduit à la découverte d’un ransomware téléchargé depuis un serveur externe.
Le ransomware, une variante du projet open-source Mauri870, est chargé en mémoire et chiffre les fichiers locaux. Une note de rançon apparaît ensuite, exigeant une somme d’argent.
Après son exécution, le ransomware laisse deux fichiers sur le bureau : DECRYPTION_INSTRUCTIONS.html et ENCRYPTED_LIST.html. Via un serveur C2 configuré, le malware transmet les données chiffrées du système affecté. Le ransomware est distribué à l’aide de commandes PowerShell qui, entre autres, désactivent la protection en temps réel.
Tactiques changeantes
Derrière cette exploitation semble se cacher un groupe catégorisé par Unit 42 comme CL-CRI-1040. L’infrastructure et les méthodes d’attaque ont évolué pendant la campagne. Le groupe a alterné entre le déploiement de modules .NET et de webshells aux fonctionnalités similaires, en fonction de l’attention publique et de la détection.
Avant l’attaque, les auteurs effectuent des actions de reconnaissance à l’aide de scripts automatisés. Ils utilisent des nœuds de sortie pour masquer leur origine. Les chercheurs ont observé un schéma identique de scans de cibles et de tentatives d’exploitation, suggérant l’utilisation d’une liste de cibles préétablie.
La campagne d’attaque montre des chevauchements avec un cluster que Microsoft désigne comme Storm-2603. Une adresse IP a été liée à la même exploitation par les deux parties. La campagne de ransomware se déroule en deux phases distinctes : une phase préparatoire et une phase où le code d’exploitation est devenu publiquement disponible.
Recommandations et mitigation
Les découvertes montrent une fois de plus que les serveurs SharePoint vulnérables sont activement ciblés par les pirates. Depuis le début des attaques, au moins quatre cents serveurs auraient été touchés. Les entreprises belges restent pour l’instant épargnées.
lire aussi
La cause de la faille SharePoint réside dans un correctif « incomplet » de Microsoft
Microsoft a entre-temps publié des mises à jour de sécurité pour les vulnérabilités concernées. Il est crucial d’installer ces correctifs, mais cela ne suffit pas si les attaquants sont déjà entrés. Surveillez activement vos serveurs pour détecter des traces d’intrusion et déconnectez-les d’Internet dès que possible en cas d’activité suspecte.