Security

Storm-1175 и Medusa ransomware: атаки на веб-активы

3 мин. чтения

Кратко

Microsoft Threat Intelligence предупреждает, что Storm-1175 активно эксплуатирует уязвимые интернет-доступные системы для развертывания Medusa ransomware, иногда в течение 24 часов после первоначального доступа. Ориентация группы на недавно раскрытые уязвимости, web shell, инструменты RMM и быстрое боковое перемещение делает критически важными скорость установки исправлений, управление внешней поверхностью атаки и обнаружение действий после компрометации.

Нужна помощь с Security?Поговорить с экспертом

Storm-1175 и Medusa ransomware: почему это важно

Microsoft Threat Intelligence опубликовала новое исследование о Storm-1175 — финансово мотивированном threat actor, который проводит быстро развивающиеся кампании Medusa ransomware. Ключевая проблема для защитников — скорость: группа нацеливается на доступные извне веб-системы и может пройти путь от эксплуатации до развертывания ransomware всего за 24 часа.

Для IT- и security-команд это еще одно напоминание: интернет-доступные активы, задержки с установкой исправлений и слабая видимость периметровых систем создают очень узкое окно для реагирования.

Что нового

По данным Microsoft, с 2023 года Storm-1175 эксплуатировала более 16 уязвимостей, делая ставку на промежуток между публичным раскрытием и внедрением исправлений. Среди целевых технологий:

  • Microsoft Exchange
  • Ivanti Connect Secure and Policy Secure
  • ConnectWise ScreenConnect
  • JetBrains TeamCity
  • Papercut
  • SimpleHelp
  • CrushFTP
  • GoAnywhere MFT
  • SmarterMail
  • BeyondTrust

Примечательно, что Microsoft также наблюдала использование злоумышленником некоторых zero-day exploits, включая случаи, когда эксплуатация происходила за неделю до публичного раскрытия.

Как работает цепочка атаки

После получения доступа через уязвимый веб-актив Storm-1175 обычно:

  • Закрепляется с помощью web shell или payload для удаленного доступа
  • Создает новые локальные учетные записи и добавляет их в группы администраторов
  • Использует LOLBins, такие как PowerShell и PsExec
  • Выполняет боковое перемещение через RDP, иногда включая его изменениями в firewall
  • Опирается на RMM tools, такие как Atera, AnyDesk, ScreenConnect, MeshAgent и SimpleHelp
  • Использует инструменты вроде PDQ Deployer и Impacket для доставки payload и бокового перемещения
  • Крадет учетные данные, вмешивается в security controls, эксфильтрирует данные и разворачивает Medusa ransomware

Такое сочетание легитимных административных инструментов и быстрого исполнения затрудняет отличие вредоносной активности от обычных IT-операций.

Влияние на IT-администраторов

Сильнее всего пострадали организации в сферах healthcare, education, professional services и finance, особенно в США, Великобритании и Австралии. Для администраторов основные риски таковы:

  • Неисправленные или недавно раскрытые уязвимости в интернет-доступных системах
  • Недостаточная видимость внешних периметровых активов
  • Чрезмерно разрешающие настройки RDP и firewall
  • Неконтролируемое использование RMM tools в продуктивных средах

В отчете также подчеркивается важность обнаружения поведения после компрометации, а не только блокирования начальной эксплуатации.

Рекомендуемые следующие шаги

Security- и IT-командам следует сосредоточиться на следующем:

  • Быстро устанавливать исправления на внешние системы, особенно на веб-приложения
  • Проводить инвентаризацию и непрерывный мониторинг всех активов external attack surface
  • Пересмотреть и ограничить использование RMM tools только утвержденными платформами и учетными записями
  • Проверить наличие несанкционированных новых учетных записей администраторов и изменений в firewall
  • Отслеживать подозрительное использование PowerShell, PsExec, PDQ Deploy и Impacket
  • Убедиться, что Defender и связанные правила обнаружения включены и настроены
  • Проверить планы восстановления после ransomware, включая offline backups и процессы incident response

Рекомендации Microsoft подчеркивают практическую реальность: если злоумышленники могут превратить уязвимость в оружие за дни или даже часы, security-командам нужны и более быстрые исправления, и более сильное обнаружение бокового перемещения внутри сети.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Threat Intelligence
Storm-1175Medusa ransomwarevulnerability managementweb-facing assetsMicrosoft Threat Intelligence

Похожие статьи

Security

Agentic SOC от Microsoft: видение будущего SecOps

Microsoft описывает модель «agentic SOC», которая сочетает автономное предотвращение угроз и AI agents для ускорения расследований и снижения усталости от оповещений. Этот подход должен перевести операции безопасности от реактивного реагирования на инциденты к более быстрой и адаптивной защите, давая командам SOC больше времени на стратегическое снижение рисков и управление.

Security

Атаки Storm-2755 на payroll в Канаде

Microsoft раскрыла детали финансово мотивированной кампании Storm-2755, нацеленной на сотрудников в Канаде с атаками на перенаправление зарплатных выплат. Злоумышленник использовал SEO poisoning, malvertising и adversary-in-the-middle методы, чтобы красть сессии, обходить устаревшие MFA и изменять реквизиты direct deposit, что делает phishing-resistant MFA и мониторинг сессий критически важной защитой.

Security

Уязвимость EngageSDK для Android затронула кошельки

Microsoft раскрыла серьёзную уязвимость перенаправления intent в стороннем EngageSDK для Android, из-за которой миллионы пользователей криптокошельков могли подвергнуться риску утечки данных и повышения привилегий. Проблема устранена в EngageSDK версии 5.2.1, а сам случай подчёркивает растущие риски безопасности, связанные с непрозрачными зависимостями мобильной цепочки поставок.

Security

Перехват DNS через SOHO routers: предупреждение Microsoft

Microsoft Threat Intelligence сообщает, что Forest Blizzard компрометирует уязвимые домашние и офисные routers малого бизнеса, чтобы перехватывать DNS-трафик и в некоторых случаях проводить adversary-in-the-middle атаки на целевые соединения. Эта кампания важна для ИТ-команд, поскольку неуправляемые SOHO-устройства, используемые удалёнными и гибридными сотрудниками, могут подвергать риску доступ к облачным сервисам и конфиденциальные данные, даже если корпоративная среда остаётся защищённой.

Security

Фишинг device code с AI: эскалация кампании

Microsoft Defender Security Research описала масштабную фишинговую кампанию, злоупотребляющую OAuth device code flow с использованием приманок, созданных AI, динамической генерации кодов и автоматизированной backend-инфраструктуры. Кампания повышает риски для организаций, так как увеличивает успешность атак, обходит традиционные шаблоны обнаружения и позволяет красть токены, закрепляться через правила почтового ящика и проводить разведку через Microsoft Graph.

Security

AI-кибератаки ускоряют угрозы по всей цепочке

Microsoft предупреждает, что злоумышленники теперь внедряют AI на всём протяжении жизненного цикла кибератаки — от разведки и phishing до разработки malware и действий после компрометации. Для защитников это означает более быстрые и точные атаки, более высокий успех phishing и растущую необходимость усиливать защиту identity, MFA и видимость AI-управляемых поверхностей атаки.