Storm-2755 lance une campagne de piraterie de la paie contre les travailleurs canadiens
Un groupe de cybercriminels motivés financièrement, désigné Storm-2755, a lancé une campagne sophistiquée ciblant les systèmes de paie canadiens, détournant avec succès les comptes des employés pour rediriger les paiements de salaires vers des comptes contrôlés par les attaquants. Le groupe de menaces, identifié pour la première fois au début de 2026, mène ce que les chercheurs en sécurité appellent des 'attaques de piraterie de la paie' depuis mars 2026, avec une escalade significative de la campagne tout au long du mois d'avril.
La méthodologie d'attaque implique que Storm-2755 obtienne un accès non autorisé aux comptes des employés au sein des systèmes de gestion de la paie utilisés par les organisations canadiennes. Une fois à l'intérieur de ces comptes, les attaquants modifient les informations de dépôt direct, redirigeant les paiements de salaires légitimes vers des comptes bancaires sous leur contrôle. Cette technique permet au groupe de menaces de voler des chèques de paie entiers avant que les employés ou les employeurs ne réalisent que la compromission a eu lieu.
Les chercheurs en sécurité suivant la campagne rapportent que Storm-2755 démontre une connaissance avancée des cycles de traitement de la paie et des systèmes bancaires canadiens. Le groupe semble synchroniser ses modifications de compte avec les fenêtres de traitement de la paie, maximisant la fenêtre d'opportunité avant la détection. Les attaquants ont montré une expertise particulière dans la navigation sur les plateformes de paie canadiennes populaires, suggérant une reconnaissance approfondie et peut-être une connaissance interne de ces systèmes.
Les opérations du groupe de menaces vont au-delà de simples prises de contrôle de comptes. Storm-2755 a développé des techniques sophistiquées pour maintenir la persistance au sein des systèmes de paie compromis, établissant souvent plusieurs points d'accès pour assurer un accès continu même si les vecteurs de compromission initiaux sont découverts et corrigés. Cette persistance permet au groupe de mener plusieurs opérations de vol contre la même organisation sur de longues périodes.
Les autorités canadiennes de cybersécurité suivent cette campagne depuis son émergence, notant que Storm-2755 utilise des techniques avancées d'ingénierie sociale pour obtenir un accès initial aux identifiants des employés. Le groupe a été observé utilisant des campagnes de phishing ciblées, des attaques de bourrage d'identifiants contre des mots de passe faibles, et l'exploitation de vulnérabilités non corrigées dans les interfaces des systèmes de paie.
Les organisations et les employés canadiens font face à un impact financier direct
La campagne Storm-2755 affecte principalement les employés canadiens dans plusieurs secteurs industriels, avec une concentration particulière dans les petites et moyennes entreprises qui dépendent des services de paie basés sur le cloud. Les organisations utilisant des plateformes de paie canadiennes populaires, y compris ADP Canada, Ceridian Dayforce et Paymi, ont signalé des compromissions réussies, bien que les attaques ne se limitent pas à des fournisseurs de logiciels spécifiques.
Les employés affectés font face à des difficultés financières immédiates lorsque leurs paiements de salaire sont redirigés vers des comptes contrôlés par les attaquants. Le vol passe souvent inaperçu jusqu'au jour de paie, lorsque les employés découvrent que leurs dépôts attendus ne sont pas arrivés. La récupération des fonds volés nécessite une coordination entre les employeurs, les fournisseurs de paie et les institutions bancaires, un processus qui peut prendre des semaines à résoudre tandis que les employés luttent avec des déficits financiers inattendus.
Les petites entreprises semblent particulièrement vulnérables à ces attaques en raison de ressources limitées en cybersécurité et de la dépendance aux configurations de sécurité par défaut dans les systèmes de paie. Les organisations comptant moins de 500 employés représentent environ 70 % des victimes confirmées de Storm-2755, selon une analyse préliminaire des chercheurs en cybersécurité canadiens. Ces petites organisations manquent souvent de personnel de sécurité informatique dédié capable de mettre en œuvre des capacités avancées de surveillance et de détection.
La distribution géographique des attaques montre une concentration dans les grandes zones métropolitaines canadiennes, en particulier Toronto, Vancouver et Montréal, où des concentrations plus élevées d'entreprises utilisent des services de paie basés sur le cloud. Cependant, la campagne s'est étendue pour inclure des organisations dans toutes les provinces canadiennes, indiquant que Storm-2755 a développé une infrastructure d'attaque évolutive capable de cibler des organisations à l'échelle nationale.
Stratégie de réponse et d'atténuation complète pour la sécurité de la paie
Les organisations doivent immédiatement mettre en œuvre l'authentification multi-facteurs (MFA) sur tous les comptes des systèmes de paie, en priorisant les portails administratifs et de libre-service des employés. Les entreprises canadiennes devraient auditer tous les journaux d'accès aux systèmes de paie des 90 derniers jours, à la recherche de modèles de connexion inhabituels, d'accès en dehors des heures de travail ou de connexions depuis des emplacements géographiques inconnus. Le catalogue des vulnérabilités exploitées connues de la CISA devrait être consulté pour s'assurer que tous les composants des systèmes de paie sont corrigés contre les failles de sécurité connues.
L'éducation des employés représente un élément de défense critique contre les tactiques de Storm-2755. Les organisations devraient mener une formation immédiate de sensibilisation à la sécurité axée sur les tentatives de phishing liées à la paie, en soulignant que les fournisseurs de paie légitimes ne demanderont jamais de mises à jour d'identifiants par e-mail ou par téléphone. Les employés devraient être instruits de vérifier toute communication des systèmes de paie par des canaux officiels et de signaler immédiatement les demandes suspectes aux équipes de sécurité informatique.
L'atténuation technique nécessite la mise en œuvre de capacités de surveillance robustes au sein des systèmes de paie. Les organisations devraient configurer des alertes pour tout changement des informations bancaires des employés, nécessitant des étapes de vérification supplémentaires avant de traiter les détails de dépôt direct modifiés. La segmentation du réseau devrait isoler les systèmes de paie des réseaux d'entreprise généraux, limitant le mouvement latéral potentiel si une compromission initiale se produit par d'autres vecteurs d'attaque.
Les institutions financières et les fournisseurs de services de paie doivent améliorer les capacités de détection de la fraude ciblant spécifiquement les modifications inhabituelles de dépôt direct. Les banques devraient mettre en œuvre des procédures de vérification supplémentaires pour les nouvelles additions de comptes aux systèmes de paie, en particulier lorsque les changements se produisent en dehors des heures normales de travail ou impliquent des comptes avec un historique de transactions limité. Le Microsoft Security Response Center fournit des conseils supplémentaires pour les organisations utilisant des composants d'infrastructure de paie basés sur Microsoft.
Des procédures de récupération devraient être établies avant que les attaques ne se produisent, y compris des canaux de communication prédéterminés avec les partenaires bancaires et des procédures d'escalade claires pour les fraudes suspectées de la paie. Les organisations devraient maintenir des sauvegardes hors ligne des données de configuration de la paie, permettant une restauration rapide des informations de dépôt direct légitimes si les systèmes sont compromis. Des tests réguliers de ces procédures de récupération garantissent une réponse efficace lorsque des incidents réels se produisent.
