Storm-1175 og Medusa ransomware: Derfor er det vigtigt

Microsoft Threat Intelligence har offentliggjort ny research om Storm-1175, en økonomisk motiveret trusselsaktør, der kører hurtige kampagner med Medusa ransomware. Den største bekymring for forsvarere er hastigheden: Gruppen går efter eksponerede webvendte systemer og kan gå fra udnyttelse til udrulning af ransomware på helt ned til 24 timer.

For IT- og sikkerhedsteams er dette endnu en påmindelse om, at internetvendte aktiver, forsinket patching og svag synlighed på tværs af perimeter-systemer skaber et meget snævert vindue for respons.

Hvad er nyt

Microsoft oplyser, at Storm-1175 har udnyttet mere end 16 sårbarheder siden 2023 med fokus på tidsrummet mellem offentliggørelse og implementering af patches. Målrettede teknologier omfatter:

• Microsoft Exchange
• Ivanti Connect Secure and Policy Secure
• ConnectWise ScreenConnect
• JetBrains TeamCity
• Papercut
• SimpleHelp
• CrushFTP
• GoAnywhere MFT
• SmarterMail
• BeyondTrust

Microsoft har desuden observeret aktøren bruge enkelte zero-day exploits, herunder tilfælde hvor udnyttelsen skete en uge før offentliggørelse.

Sådan fungerer angrebskæden

Efter at have opnået adgang via et sårbart webvendt aktiv gør Storm-1175 typisk følgende:

• Etablerer persistens med en web shell eller remote access-payload
• Opretter nye lokale konti og føjer dem til administratorgrupper
• Bruger LOLBins som PowerShell og PsExec
• Bevæger sig lateralt med RDP, nogle gange aktiveret via ændringer i firewall
• Benytter RMM tools som Atera, AnyDesk, ScreenConnect, MeshAgent og SimpleHelp
• Bruger værktøjer som PDQ Deployer og Impacket til payload-levering og lateral bevægelse
• Stjæler legitimationsoplysninger, manipulerer sikkerhedskontroller, eksfiltrerer data og udruller Medusa ransomware

Denne kombination af legitime administrationsværktøjer og hurtig eksekvering gør aktiviteten sværere at skelne fra normal IT-drift.

Konsekvenser for IT-administratorer

Organisationer inden for sundhedssektoren, uddannelse, professionelle services og finans er blevet hårdt ramt, især i USA, Storbritannien og Australien. For administratorer er de største risici:

• Upatchede eller nyligt offentliggjorte sårbarheder på internetvendte systemer
• Mangelfuld synlighed i eksponerede perimeter-aktiver
• For lempelige RDP- og firewall-indstillinger
• Uovervåget brug af RMM tools i produktionsmiljøer

Rapporten fremhæver også vigtigheden af at opdage adfærd efter kompromittering, ikke kun at blokere den indledende udnyttelse.

Anbefalede næste skridt

Sikkerheds- og IT-teams bør prioritere følgende:

• Patch eksponerede systemer hurtigt, især webvendte applikationer
• Registrer og overvåg løbende alle aktiver i den eksterne angrebsflade
• Gennemgå og begræns brugen af RMM tools til godkendte platforme og konti
• Revider for uautoriserede nye admin-konti og ændringer i firewall
• Overvåg mistænkelig brug af PowerShell, PsExec, PDQ Deploy og Impacket
• Sørg for, at Defender og relaterede detektionsregler er aktiveret og finjusteret
• Valider planer for ransomware-genopretning, herunder offline backups og workflows for hændelsesrespons

Microsofts vejledning understreger en praktisk realitet: Hvis angribere kan gøre en sårbarhed til et våben inden for dage eller endda timer, har sikkerhedsteams brug for både hurtigere patching og stærkere detektion af lateral bevægelse inde i netværket.