Security

Storm-1175 i Medusa ransomware atakują web assets

3 min czytania

Podsumowanie

Microsoft Threat Intelligence ostrzega, że Storm-1175 szybko wykorzystuje podatne systemy dostępne z internetu do wdrażania Medusa ransomware, czasem w ciągu zaledwie 24 godzin od uzyskania początkowego dostępu. Koncentracja grupy na nowo ujawnionych lukach, web shells, narzędziach RMM i szybkim ruchu lateralnym sprawia, że szybkie łatanie, zarządzanie ekspozycją i wykrywanie działań po kompromitacji są kluczowe dla obrońców.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Storm-1175 i Medusa ransomware: dlaczego to ważne

Microsoft Threat Intelligence opublikował nowe badania dotyczące Storm-1175, aktora zagrożeń nastawionego na zysk finansowy, prowadzącego szybkie kampanie Medusa ransomware. Kluczowym problemem dla obrońców jest tempo: grupa atakuje wystawione systemy web-facing i może przejść od wykorzystania luki do wdrożenia ransomware w zaledwie 24 godziny.

Dla zespołów IT i bezpieczeństwa to kolejne przypomnienie, że zasoby dostępne z internetu, opóźnione łatanie i słaba widoczność systemów brzegowych tworzą bardzo wąskie okno na reakcję.

Co nowego

Microsoft podaje, że Storm-1175 wykorzystał ponad 16 vulnerabilities od 2023 roku, koncentrując się na luce czasowej między publicznym ujawnieniem a wdrożeniem poprawek. Atakowane technologie obejmują:

  • Microsoft Exchange
  • Ivanti Connect Secure and Policy Secure
  • ConnectWise ScreenConnect
  • JetBrains TeamCity
  • Papercut
  • SimpleHelp
  • CrushFTP
  • GoAnywhere MFT
  • SmarterMail
  • BeyondTrust

Co istotne, Microsoft zaobserwował również użycie przez tego aktora niektórych zero-day exploits, w tym przypadki, w których wykorzystanie nastąpiło tydzień przed publicznym ujawnieniem.

Jak działa łańcuch ataku

Po uzyskaniu dostępu przez podatny zasób web-facing, Storm-1175 zazwyczaj:

  • Utrzymuje trwałość przy użyciu web shell lub payloadu zdalnego dostępu
  • Tworzy new local accounts i dodaje je do grup administratorów
  • Wykorzystuje LOLBins, takie jak PowerShell i PsExec
  • Porusza się lateralnie za pomocą RDP, czasem włączając je poprzez zmiany w firewall
  • Korzysta z RMM tools, takich jak Atera, AnyDesk, ScreenConnect, MeshAgent i SimpleHelp
  • Używa narzędzi takich jak PDQ Deployer i Impacket do dostarczania payloadów i ruchu lateralnego
  • Kradnie poświadczenia, manipuluje kontrolami bezpieczeństwa, eksfiltruje dane i wdraża Medusa ransomware

To połączenie legalnych narzędzi administracyjnych i szybkiej realizacji utrudnia odróżnienie tej aktywności od normalnych działań IT.

Wpływ na administratorów IT

Organizacje z sektorów healthcare, education, professional services i finance zostały mocno dotknięte, szczególnie w US, UK i Australia. Dla administratorów największe ryzyka to:

  • Niezałatane lub nowo ujawnione vulnerabilities w systemach dostępnych z internetu
  • Słaba widoczność wystawionych zasobów brzegowych
  • Zbyt liberalne ustawienia RDP i firewall
  • Nadzorowane użycie RMM tools w środowiskach produkcyjnych

Raport podkreśla również znaczenie wykrywania zachowań po kompromitacji, a nie tylko blokowania początkowego wykorzystania luk.

Zalecane kolejne kroki

Zespoły bezpieczeństwa i IT powinny nadać priorytet następującym działaniom:

  • Szybko łatać wystawione systemy, szczególnie aplikacje web-facing
  • Inwentaryzować i stale monitorować wszystkie zasoby external attack surface
  • Przejrzeć i ograniczyć użycie RMM tools do zatwierdzonych platform i kont
  • Audytować nieautoryzowane new admin accounts oraz zmiany w firewall
  • Monitorować podejrzane użycie PowerShell, PsExec, PDQ Deploy i Impacket
  • Upewnić się, że Defender i powiązane reguły detekcji są włączone i dostrojone
  • Zweryfikować plany odzyskiwania po ransomware, w tym offline backups i workflowy reagowania na incydenty

Wskazówki Microsoft potwierdzają praktyczną rzeczywistość: jeśli atakujący mogą uzbroić lukę w ciągu dni, a nawet godzin, zespoły bezpieczeństwa potrzebują zarówno szybszego łatania, jak i silniejszego wykrywania ruchu lateralnego wewnątrz sieci.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Threat Intelligence
Storm-1175Medusa ransomwarevulnerability managementweb-facing assetsMicrosoft Threat Intelligence

Powiązane artykuły

Security

Phishing device code AI: kampania eskaluje

Microsoft Defender Security Research opisał zakrojoną na szeroką skalę kampanię phishingową, która nadużywa przepływu OAuth device code z użyciem przynęt generowanych przez AI, dynamicznego generowania kodów oraz zautomatyzowanej infrastruktury backendowej. Kampania zwiększa ryzyko dla organizacji, ponieważ poprawia skuteczność atakujących, omija tradycyjne wzorce detekcji i umożliwia kradzież tokenów, utrwalanie dostępu przez reguły skrzynki odbiorczej oraz rekonesans w Microsoft Graph.

Security

Ataki cybernetyczne AI przyspieszają cały łańcuch

Microsoft ostrzega, że cyberprzestępcy wykorzystują obecnie AI na całej długości cyklu ataku — od rozpoznania i phishingu po tworzenie malware oraz działania po przejęciu środowiska. Dla obrońców oznacza to szybsze i bardziej precyzyjne ataki, wyższą skuteczność phishingu oraz rosnącą potrzebę wzmocnienia ochrony tożsamości, MFA i widoczności powierzchni ataku wspieranych przez AI.

Security

PHP webshelle na Linux: unikanie wykrycia przez cookies

Microsoft ostrzega, że cyberprzestępcy wykorzystują HTTP cookies do sterowania PHP webshellami w środowiskach hostingowych Linux, co pozwala złośliwemu kodowi pozostawać uśpionym, dopóki nie pojawią się określone wartości cookie. Technika ta ogranicza widoczność w rutynowych logach, wspiera trwałość dzięki zadaniom cron i podkreśla potrzebę silniejszego monitoringu, ochrony aplikacji webowych oraz wykrywania zagrożeń na punktach końcowych w hostowanych środowiskach Linux.

Security

Atak na Axios npm: przewodnik po ograniczaniu skutków

Microsoft ostrzegł, że złośliwe wersje Axios npm 1.14.1 i 0.30.4 zostały wykorzystane w ataku na łańcuch dostaw przypisywanym grupie Sapphire Sleet. Organizacje korzystające z tych pakietów powinny natychmiast zmienić sekrety, przejść na bezpieczne wersje oraz sprawdzić stacje deweloperskie i systemy CI/CD pod kątem naruszenia.

Security

{{Gotowość bezpieczeństwa infrastruktury krytycznej 2026}}

Microsoft informuje, że model zagrożeń dla infrastruktury krytycznej przesunął się z oportunistycznych ataków w stronę trwałego, opartego na tożsamości dostępu przygotowywanego pod przyszłe zakłócenia. Dla liderów IT i bezpieczeństwa przekaz jest jasny: już teraz ogranicz ekspozycję, wzmocnij ochronę tożsamości i potwierdź gotowość operacyjną, ponieważ presja regulacyjna i aktywność państwowych aktorów rosną.

Security

{{Podstawy bezpieczeństwa AI: praktyczne wskazówki dla CISO}}

{{Microsoft zaleca CISO zabezpieczanie systemów AI przy użyciu tych samych podstawowych mechanizmów, które już stosują wobec oprogramowania, tożsamości i dostępu do danych. Wskazówki podkreślają zasadę najmniejszych uprawnień, ochronę przed prompt injection oraz wykorzystanie samej AI do wykrywania problemów z uprawnieniami, zanim zrobią to atakujący lub użytkownicy.}}