Storm-1175 en Medusa ransomware: waarom dit belangrijk is

Microsoft Threat Intelligence heeft nieuw onderzoek gepubliceerd over Storm-1175, een financieel gemotiveerde dreigingsactor die snelle Medusa ransomware-campagnes uitvoert. De grootste zorg voor verdedigers is de snelheid: de groep richt zich op blootgestelde webgerichte systemen en kan van exploitatie naar ransomware-uitrol gaan in slechts 24 uur.

Voor IT- en securityteams is dit opnieuw een herinnering dat internetgerichte assets, vertraagde patching en beperkte zichtbaarheid over perimetersystemen een zeer klein venster voor respons creëren.

Wat is er nieuw

Microsoft meldt dat Storm-1175 sinds 2023 meer dan 16 kwetsbaarheden heeft misbruikt, met focus op het gat tussen publieke bekendmaking en patchadoptie. Doelwittechnologieën zijn onder meer:

• Microsoft Exchange
• Ivanti Connect Secure and Policy Secure
• ConnectWise ScreenConnect
• JetBrains TeamCity
• Papercut
• SimpleHelp
• CrushFTP
• GoAnywhere MFT
• SmarterMail
• BeyondTrust

Opvallend is dat Microsoft de actor ook zero-day exploits zag gebruiken, waaronder gevallen waarbij exploitatie een week vóór publieke bekendmaking plaatsvond.

Hoe de aanvalsketen werkt

Na toegang te hebben verkregen via een kwetsbare webgerichte asset, doet Storm-1175 doorgaans het volgende:

• Zet persistentie op met een web shell of remote access-payload
• Maakt nieuwe lokale accounts aan en voegt deze toe aan administrator-groepen
• Gebruikt LOLBins zoals PowerShell en PsExec
• Beweegt lateraal met RDP, soms door dit via firewallwijzigingen in te schakelen
• Vertrouwt op RMM-tools zoals Atera, AnyDesk, ScreenConnect, MeshAgent en SimpleHelp
• Gebruikt tools zoals PDQ Deployer en Impacket voor payloadlevering en laterale verplaatsing
• Steelt referenties, manipuleert securitycontroles, exfiltreert data en rolt Medusa ransomware uit

Deze combinatie van legitieme beheertools en snelle uitvoering maakt activiteit moeilijker te onderscheiden van normale IT-operaties.

Impact op IT-beheerders

Organisaties in de gezondheidszorg, het onderwijs, professionele dienstverlening en finance zijn zwaar getroffen, vooral in de VS, het VK en Australië. Voor beheerders zijn de grootste risico’s:

• Niet-gepatchte of recent bekendgemaakte kwetsbaarheden op internetgerichte systemen
• Slechte zichtbaarheid van blootgestelde perimeter-assets
• Te ruime RDP- en firewallinstellingen
• Ongemonitord gebruik van RMM-tools in productieomgevingen

Het rapport benadrukt ook het belang van het detecteren van gedrag na compromittering, niet alleen het blokkeren van de initiële exploitatie.

Aanbevolen volgende stappen

Security- en IT-teams moeten prioriteit geven aan het volgende:

• Patch blootgestelde systemen snel, vooral webgerichte applicaties
• Inventariseer en monitor continu alle assets in het external attack surface
• Beoordeel en beperk het gebruik van RMM-tools tot goedgekeurde platforms en accounts
• Controleer op ongeautoriseerde nieuwe adminaccounts en firewallwijzigingen
• Monitor op verdacht gebruik van PowerShell, PsExec, PDQ Deploy en Impacket
• Zorg dat Defender en gerelateerde detectieregels zijn ingeschakeld en goed zijn afgestemd
• Valideer herstelplannen voor ransomware, inclusief offline back-ups en incident response-workflows

Microsofts richtlijnen onderstrepen een praktische realiteit: als aanvallers een kwetsbaarheid binnen dagen of zelfs uren kunnen misbruiken, hebben securityteams zowel snellere patching als sterkere detectie van laterale verplaatsing binnen het netwerk nodig.