Storm-1175 e Medusa ransomware: perché è importante

Microsoft Threat Intelligence ha pubblicato una nuova ricerca su Storm-1175, un attore di minaccia a scopo finanziario che conduce campagne di Medusa ransomware ad alta velocità. L’aspetto principale che preoccupa i difensori è la rapidità: il gruppo prende di mira sistemi web esposti su Internet e può passare dallo sfruttamento alla distribuzione del ransomware in appena 24 ore.

Per i team IT e di sicurezza, questo è un ulteriore promemoria del fatto che asset esposti su Internet, patching ritardato e scarsa visibilità sui sistemi perimetrali creano una finestra di risposta molto ridotta.

Cosa c’è di nuovo

Microsoft afferma che Storm-1175 ha sfruttato più di 16 vulnerabilità dal 2023, concentrandosi sull’intervallo tra la divulgazione pubblica e l’adozione delle patch. Le tecnologie prese di mira includono:

• Microsoft Exchange
• Ivanti Connect Secure and Policy Secure
• ConnectWise ScreenConnect
• JetBrains TeamCity
• Papercut
• SimpleHelp
• CrushFTP
• GoAnywhere MFT
• SmarterMail
• BeyondTrust

In particolare, Microsoft ha anche osservato l’attore utilizzare alcuni zero-day exploit, inclusi casi in cui lo sfruttamento è avvenuto una settimana prima della divulgazione pubblica.

Come funziona la catena di attacco

Dopo aver ottenuto l’accesso tramite un asset web esposto e vulnerabile, Storm-1175 in genere:

• Stabilisce la persistenza usando una web shell o un payload di accesso remoto
• Crea nuovi account locali e li aggiunge ai gruppi di amministratori
• Usa LOLBins come PowerShell e PsExec
• Si muove lateralmente con RDP, talvolta abilitandolo tramite modifiche al firewall
• Fa affidamento su strumenti RMM come Atera, AnyDesk, ScreenConnect, MeshAgent e SimpleHelp
• Usa strumenti come PDQ Deployer e Impacket per la distribuzione di payload e il movimento laterale
• Ruba credenziali, altera i controlli di sicurezza, esfiltra dati e distribuisce Medusa ransomware

Questa combinazione di strumenti amministrativi legittimi e rapida esecuzione rende le attività più difficili da distinguere dalle normali operazioni IT.

Impatto sugli amministratori IT

Le organizzazioni nei settori sanitario, istruzione, servizi professionali e finanza sono state fortemente colpite, in particolare negli Stati Uniti, Regno Unito e Australia. Per gli amministratori, i rischi maggiori sono:

• Vulnerabilità non corrette o appena divulgate su sistemi esposti su Internet
• Scarsa visibilità sugli asset perimetrali esposti
• Impostazioni di RDP e firewall eccessivamente permissive
• Uso non monitorato di strumenti RMM negli ambienti di produzione

Il report evidenzia anche l’importanza di rilevare i comportamenti post-compromissione, non solo di bloccare lo sfruttamento iniziale.

Prossimi passaggi consigliati

I team di sicurezza e IT dovrebbero dare priorità a quanto segue:

• Applicare rapidamente le patch ai sistemi esposti, soprattutto alle applicazioni web
• Inventariare e monitorare continuamente tutti gli asset della external attack surface
• Riesaminare e limitare l’uso degli strumenti RMM alle piattaforme e agli account approvati
• Verificare la presenza di nuovi account admin non autorizzati e di modifiche al firewall
• Monitorare l’uso sospetto di PowerShell, PsExec, PDQ Deploy e Impacket
• Assicurarsi che Defender e le relative regole di rilevamento siano abilitati e configurati correttamente
• Convalidare i piani di ripristino dal ransomware, inclusi backup offline e flussi di lavoro di incident response

Le indicazioni di Microsoft rafforzano una realtà pratica: se gli attaccanti possono trasformare una falla in un’arma nel giro di giorni o persino ore, i team di sicurezza hanno bisogno sia di un patching più rapido sia di un rilevamento più solido del movimento laterale all’interno della rete.