Security

Storm-1175 Medusa-Ransomware auf Websystemen

3 Min. Lesezeit

Zusammenfassung

Microsoft Threat Intelligence warnt, dass Storm-1175 anfällige internetseitige Systeme schnell ausnutzt, um Medusa ransomware bereitzustellen – teils innerhalb von 24 Stunden nach dem Erstzugriff. Der Fokus der Gruppe auf neu offengelegte Schwachstellen, Webshells, RMM-Tools und schnelle laterale Bewegung macht zügiges Patchen, Exposure Management und Erkennung nach einer Kompromittierung für Verteidiger entscheidend.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Storm-1175 und Medusa ransomware: Warum das wichtig ist

Microsoft Threat Intelligence hat neue Erkenntnisse zu Storm-1175 veröffentlicht, einem finanziell motivierten Threat Actor, der schnelle Medusa ransomware-Kampagnen durchführt. Das zentrale Problem für Verteidiger ist die Geschwindigkeit: Die Gruppe zielt auf exponierte webbasierten Systeme und kann von der Ausnutzung bis zur Bereitstellung von Ransomware in nur 24 Stunden gelangen.

Für IT- und Sicherheitsteams ist das eine weitere Erinnerung daran, dass internetseitige Assets, verzögertes Patchen und geringe Transparenz über Perimetersysteme das Reaktionsfenster stark verkleinern.

Was ist neu?

Microsoft zufolge hat Storm-1175 seit 2023 mehr als 16 Schwachstellen ausgenutzt und dabei die Lücke zwischen öffentlicher Offenlegung und Patch-Einführung gezielt genutzt. Zu den betroffenen Technologien gehören:

  • Microsoft Exchange
  • Ivanti Connect Secure und Policy Secure
  • ConnectWise ScreenConnect
  • JetBrains TeamCity
  • Papercut
  • SimpleHelp
  • CrushFTP
  • GoAnywhere MFT
  • SmarterMail
  • BeyondTrust

Bemerkenswert ist zudem, dass Microsoft den Akteur auch beim Einsatz einiger Zero-Day-Exploits beobachtet hat, darunter Fälle, in denen die Ausnutzung eine Woche vor der öffentlichen Offenlegung stattfand.

So funktioniert die Angriffskette

Nach dem Zugriff über ein anfälliges webbasiertes Asset geht Storm-1175 typischerweise wie folgt vor:

  • Etabliert Persistenz mithilfe einer Webshell oder eines Remote-Access-Payloads
  • Erstellt neue lokale Konten und fügt sie Administratorgruppen hinzu
  • Nutzt LOLBins wie PowerShell und PsExec
  • Bewegt sich lateral per RDP, teils nach Aktivierung durch Firewall-Änderungen
  • Setzt auf RMM-Tools wie Atera, AnyDesk, ScreenConnect, MeshAgent und SimpleHelp
  • Verwendet Tools wie PDQ Deployer und Impacket für Payload-Bereitstellung und laterale Bewegung
  • Stiehlt Zugangsdaten, manipuliert Sicherheitskontrollen, exfiltriert Daten und stellt Medusa ransomware bereit

Diese Kombination aus legitimen Admin-Tools und schneller Ausführung macht die Aktivitäten schwerer von normalen IT-Abläufen zu unterscheiden.

Auswirkungen auf IT-Administratoren

Organisationen im Gesundheitswesen, Bildungssektor, bei professionellen Dienstleistungen und im Finanzwesen waren stark betroffen, insbesondere in den USA, Großbritannien und Australien. Für Administratoren sind die größten Risiken:

  • Ungepatchte oder neu offengelegte Schwachstellen auf internetseitigen Systemen
  • Mangelnde Transparenz über exponierte Perimeter-Assets
  • Zu weit gefasste RDP- und Firewall-Einstellungen
  • Unüberwachter Einsatz von RMM-Tools in Produktionsumgebungen

Der Bericht unterstreicht außerdem, wie wichtig die Erkennung von Verhalten nach einer Kompromittierung ist – nicht nur das Blockieren der initialen Ausnutzung.

Empfohlene nächste Schritte

Security- und IT-Teams sollten Folgendes priorisieren:

  • Exponierte Systeme schnell patchen, insbesondere webbasierte Anwendungen
  • Alle Assets der externen Angriffsfläche inventarisieren und kontinuierlich überwachen
  • Die Nutzung von RMM-Tools überprüfen und auf genehmigte Plattformen und Konten beschränken
  • Auf nicht autorisierte neue Admin-Konten und Firewall-Änderungen prüfen
  • Auf verdächtige Nutzung von PowerShell, PsExec, PDQ Deploy und Impacket achten
  • Sicherstellen, dass Defender und zugehörige Erkennungsregeln aktiviert und abgestimmt sind
  • Ransomware-Wiederherstellungspläne validieren, einschließlich Offline-Backups und Incident-Response-Workflows

Microsofts Leitlinien bekräftigen eine praktische Realität: Wenn Angreifer eine Schwachstelle innerhalb von Tagen oder sogar Stunden ausnutzen können, brauchen Sicherheitsteams sowohl schnelleres Patchen als auch eine stärkere Erkennung lateraler Bewegungen im Netzwerk.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Threat Intelligence lesen
Storm-1175Medusa ransomwarevulnerability managementweb-facing assetsMicrosoft Threat Intelligence

Verwandte Beiträge

Security

Device Code Phishing: KI-Kampagne eskaliert

Microsoft Defender Security Research hat eine groß angelegte Phishing-Kampagne beschrieben, die den OAuth-Device-Code-Flow mit KI-generierten Ködern, dynamischer Code-Erstellung und automatisierter Backend-Infrastruktur missbraucht. Die Kampagne erhöht das Risiko für Organisationen, weil sie die Erfolgsquote von Angreifern verbessert, klassische Erkennungsmuster umgeht und Token-Diebstahl, Persistenz über Inbox-Regeln sowie Reconnaissance über Microsoft Graph ermöglicht.

Security

AI-Cyberangriffe beschleunigen die Angriffskette

Microsoft warnt, dass Bedrohungsakteure inzwischen AI über den gesamten Cyberangriffszyklus hinweg einsetzen – von Aufklärung und Phishing bis zur Malware-Entwicklung und Aktivitäten nach einer Kompromittierung. Für Verteidiger bedeutet das schnellere, präzisere Angriffe, höhere Phishing-Erfolgsquoten und einen wachsenden Bedarf, Identitäten, MFA-Schutz und die Transparenz über AI-gesteuerte Angriffsflächen zu stärken.

Security

PHP-Webshells auf Linux: Cookie-gesteuerte Tarnung

Microsoft warnt, dass Bedrohungsakteure HTTP-Cookies nutzen, um PHP-Webshells in Linux-Hosting-Umgebungen zu steuern. So bleibt schädlicher Code inaktiv, solange keine bestimmten Cookie-Werte vorhanden sind. Die Technik verringert die Sichtbarkeit in routinemäßigen Logs, unterstützt Persistenz über Cron-Jobs und unterstreicht den Bedarf an stärkerem Monitoring, Webschutz und Endpoint Detection für gehostete Linux-Workloads.

Security

Axios npm-Kompromittierung: Leitfaden zur Abwehr

Microsoft warnte, dass die schädlichen Axios npm-Versionen 1.14.1 und 0.30.4 bei einem Supply-Chain-Angriff verwendet wurden, der Sapphire Sleet zugeschrieben wird. Unternehmen mit den betroffenen Paketen sollten umgehend Secrets rotieren, auf sichere Versionen downgraden und Entwicklerendpunkte sowie CI/CD-Systeme auf eine Kompromittierung prüfen.

Security

Kritische Infrastruktur: Sicherheitsbereitschaft 2026

Microsoft sagt, dass sich das Bedrohungsmodell für kritische Infrastruktur von opportunistischen Angriffen zu dauerhaftem, identitätsbasiertem Zugriff verlagert hat, der auf spätere Störungen ausgelegt ist. Für IT- und Sicherheitsverantwortliche ist die Botschaft klar: Angriffsfläche reduzieren, Identitäten absichern und die operative Bereitschaft jetzt validieren, da Regulierung und Aktivitäten von Nationalstaaten zunehmen.

Security

AI-Sicherheitsleitfaden für CISOs: Praxisnah

Microsoft rät CISOs, AI-Systeme mit denselben grundlegenden Kontrollen abzusichern, die sie bereits für Software, Identitäten und Datenzugriff einsetzen. Die Empfehlungen betonen Least Privilege, Schutz vor Prompt Injection und den Einsatz von AI selbst, um Berechtigungsprobleme aufzudecken, bevor Angreifer oder Nutzer sie finden.