Security

Storm-1175 y Medusa ransomware: activos web en riesgo

3 min de lectura

Resumen

Microsoft Threat Intelligence advierte que Storm-1175 está explotando rápidamente sistemas vulnerables expuestos a internet para desplegar Medusa ransomware, a veces en solo 24 horas desde el acceso inicial. El enfoque del grupo en fallas recientemente divulgadas, web shells, herramientas RMM y movimiento lateral rápido hace que la velocidad de parcheo, la gestión de la exposición y la detección posterior al compromiso sean fundamentales para los defensores.

¿Necesita ayuda con Security?Hablar con un experto

Storm-1175 y Medusa ransomware: por qué importa

Microsoft Threat Intelligence ha publicado una nueva investigación sobre Storm-1175, un actor de amenazas con motivación financiera que ejecuta campañas rápidas de Medusa ransomware. La principal preocupación para los defensores es la velocidad: el grupo apunta a sistemas web expuestos a internet y puede pasar de la explotación al despliegue del ransomware en tan solo 24 horas.

Para los equipos de IT y seguridad, esto es otro recordatorio de que los activos expuestos a internet, los retrasos en el parcheo y la visibilidad deficiente en los sistemas perimetrales crean una ventana de respuesta muy estrecha.

Qué hay de nuevo

Microsoft afirma que Storm-1175 ha explotado más de 16 vulnerabilidades desde 2023, centrándose en la brecha entre la divulgación pública y la adopción de parches. Las tecnologías afectadas incluyen:

  • Microsoft Exchange
  • Ivanti Connect Secure and Policy Secure
  • ConnectWise ScreenConnect
  • JetBrains TeamCity
  • Papercut
  • SimpleHelp
  • CrushFTP
  • GoAnywhere MFT
  • SmarterMail
  • BeyondTrust

De forma destacada, Microsoft también observó al actor usando algunos zero-day exploits, incluidos casos en los que la explotación ocurrió una semana antes de la divulgación pública.

Cómo funciona la cadena de ataque

Tras obtener acceso a través de un activo web vulnerable expuesto a internet, Storm-1175 normalmente:

  • Establece persistencia mediante un web shell o una carga útil de acceso remoto
  • Crea nuevas cuentas locales y las añade a grupos de administradores
  • Usa LOLBins como PowerShell y PsExec
  • Se mueve lateralmente con RDP, a veces habilitándolo mediante cambios en el firewall
  • Depende de herramientas RMM como Atera, AnyDesk, ScreenConnect, MeshAgent y SimpleHelp
  • Usa herramientas como PDQ Deployer e Impacket para la entrega de cargas útiles y el movimiento lateral
  • Roba credenciales, manipula controles de seguridad, exfiltra datos y despliega Medusa ransomware

Esta combinación de herramientas administrativas legítimas y ejecución rápida hace que la actividad sea más difícil de distinguir de las operaciones normales de IT.

Impacto para los administradores de IT

Las organizaciones de salud, educación, servicios profesionales y finanzas se han visto especialmente afectadas, en particular en EE. UU., Reino Unido y Australia. Para los administradores, los mayores riesgos son:

  • Vulnerabilidades sin parchear o recientemente divulgadas en sistemas expuestos a internet
  • Visibilidad deficiente de los activos perimetrales expuestos
  • Configuraciones de RDP y firewall demasiado permisivas
  • Uso no supervisado de herramientas RMM en entornos de producción

El informe también destaca la importancia de detectar comportamientos posteriores al compromiso, no solo bloquear la explotación inicial.

Próximos pasos recomendados

Los equipos de seguridad e IT deben priorizar lo siguiente:

  • Aplicar parches rápidamente a los sistemas expuestos, especialmente a las aplicaciones web
  • Inventariar y supervisar continuamente todos los activos de la superficie de ataque externa
  • Revisar y restringir el uso de herramientas RMM a plataformas y cuentas aprobadas
  • Auditar nuevas cuentas de administrador no autorizadas y cambios en el firewall
  • Supervisar el uso sospechoso de PowerShell, PsExec, PDQ Deploy e Impacket
  • Asegurarse de que Defender y las reglas de detección relacionadas estén habilitados y ajustados
  • Validar los planes de recuperación ante ransomware, incluidas las copias de seguridad offline y los flujos de respuesta a incidentes

La guía de Microsoft refuerza una realidad práctica: si los atacantes pueden convertir una falla en arma en cuestión de días o incluso horas, los equipos de seguridad necesitan tanto un parcheo más rápido como una detección más sólida del movimiento lateral dentro de la red.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Threat Intelligence
Storm-1175Medusa ransomwarevulnerability managementweb-facing assetsMicrosoft Threat Intelligence

Artículos relacionados

Security

Phishing con device code por AI: campaña escala

Microsoft Defender Security Research detalló una campaña de phishing a gran escala que abusa del flujo OAuth de device code mediante señuelos generados por AI, generación dinámica de códigos e infraestructura backend automatizada. La campaña eleva el riesgo para las organizaciones porque mejora las tasas de éxito de los atacantes, elude patrones de detección tradicionales y permite el robo de tokens, la persistencia mediante reglas de bandeja de entrada y el reconocimiento con Microsoft Graph.

Security

Ciberataques con AI aceleran toda la cadena de ataque

Microsoft advierte que los actores de amenazas ya están incorporando AI en todo el ciclo de vida del ciberataque, desde el reconocimiento y el phishing hasta el desarrollo de malware y las operaciones posteriores al compromiso. Para los defensores, esto implica ataques más rápidos y precisos, mayores tasas de éxito en phishing y una necesidad creciente de reforzar la identidad, las protecciones de MFA y la visibilidad sobre superficies de ataque impulsadas por AI.

Security

Webshells PHP con cookies en Linux: evasión

Microsoft advierte que actores de amenazas están usando cookies HTTP para controlar webshells PHP en entornos de hosting Linux, lo que ayuda a que el código malicioso permanezca inactivo salvo que existan valores de cookie específicos. La técnica reduce la visibilidad en registros rutinarios, facilita la persistencia mediante cron jobs y resalta la necesidad de una supervisión más sólida, protección web y detección en endpoints en cargas de trabajo Linux alojadas.

Security

Compromiso de Axios npm: guía de mitigación

Microsoft advirtió que las versiones maliciosas de Axios npm 1.14.1 y 0.30.4 se usaron en un ataque a la cadena de suministro atribuido a Sapphire Sleet. Las organizaciones que usan los paquetes afectados deben rotar secretos de inmediato, volver a versiones seguras y revisar los endpoints de desarrollo y sistemas CI/CD en busca de compromiso.

Security

Preparación de seguridad de infraestructuras críticas 2026

Microsoft afirma que el modelo de amenazas para las infraestructuras críticas ha pasado de ataques oportunistas a accesos persistentes, impulsados por la identidad y diseñados para futuras interrupciones. Para los líderes de TI y seguridad, el mensaje es claro: reducir la exposición, reforzar la identidad y validar ahora la preparación operativa, mientras aumentan las regulaciones y la actividad de los estados nación.

Security

Seguridad de AI: guía práctica para CISOs

Microsoft aconseja a los CISOs proteger los sistemas de AI con los mismos controles básicos que ya aplican al software, las identidades y el acceso a los datos. La guía destaca el mínimo privilegio, las defensas frente a prompt injection y el uso de la propia AI para detectar problemas de permisos antes que los atacantes o los usuarios.