Microsoft a publicat luni un raport detaliat de informații privind amenințările despre Storm-1175, un grup cibercriminal cu sediul în China, motivat financiar, care a implementat ransomware-ul Medusa prin exploatarea rapidă a vulnerabilităților atât cunoscute, cât și zero-day, finalizând uneori implementarea completă a ransomware-ului în decurs de 24 de ore de la accesul inițial.
Atacuri rapide în sectoare critice
“Storm-1175 trece rapid de la accesul inițial la exfiltrarea datelor și implementarea ransomware-ului Medusa, adesea în câteva zile și, în unele cazuri, în decurs de 24 de ore”, a declarat Microsoft în raportul său. Ritmul operațional al grupului i-a permis să afecteze grav organizații din domeniul sănătății, precum și din educație, servicii profesionale și finanțe din Australia, Regatul Unit și Statele Unite.
Microsoft a descris Storm-1175 ca fiind un grup care se reorientează rapid către exploatarea vulnerabilităților de securitate recent divulgate, transformându-le în arme în decurs de o zi și, în anumite cazuri, exploatându-le cu o săptămână întreagă înainte ca patch-urile să devină disponibile public. Grupul a exploatat peste 16 vulnerabilități din 10 produse software în campaniile recente, inclusiv defecte în Microsoft Exchange, Papercut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP și BeyondTrust.
Vulnerabilități zero-day în SmarterMail și GoAnywhere MFT
Două exploatări de tip zero-day se remarcă în activitatea recentă a Storm-1175. În septembrie 2025, Microsoft a observat că grupul a exploatat CVE-2025-10035, o vulnerabilitate de deserializare cu severitate maximă în GoAnywhere MFT de la Fortra, cu cel puțin o săptămână înainte ca producătorul să publice un patch la 18 septembrie. Vulnerabilitatea avea un scor CVSS de 10.0 și permitea execuția de cod la distanță fără autentificare.
Mai recent, grupul a exploatat CVE-2026-23760, o vulnerabilitate de ocolire a autentificării în SmarterMail de la SmarterTools, despre care firma de securitate Huntress a confirmat că fusese exploatată în medii reale înainte ca un patch să fie lansat în ianuarie 2026. Microsoft a menționat că, deși aceste vulnerabilități zero-day reprezintă o capacitate evoluată pentru Storm-1175, grupul continuă să exploateze în principal vulnerabilități cunoscute, dar nepatchuite.
Recomandări de apărare
Odată pătruns într-o rețea, operatorii Storm-1175 înlănțuie multiple exploit-uri pentru a stabili persistența, implementând instrumente de monitorizare la distanță precum SimpleHelp și MeshAgent, furând credențiale și dezactivând software-ul de securitate înainte de a instala încărcăturile ransomware. Exfiltrarea datelor prin Rclone și mișcarea laterală prin instrumente Windows integrate precum mstsc.exe sunt caracteristici distincte ale tehnicilor grupului.
Microsoft a recomandat organizațiilor să acorde prioritate gestionării patch-urilor, să impună autentificarea multi-factor și să activeze regulile de reducere a suprafeței de atac. CISA, FBI și MS-ISAC au avertizat într-un aviz comun anul trecut că ransomware-ul Medusa a afectat deja peste 300 de organizații de infrastructură critică din Statele Unite, subliniind urgența amenințării pe măsură ce Storm-1175 continuă să-și accelereze campaniile.
Surse:
https://www.bleepingcomputer.com/
https://databreaches.net/2026/04/06/microsoft-links-medusa-ransomware-affiliate-to-zero-day-attacks/