Microsoft Links Storm-1175 to GoAnywhere Exploit Deploying Medusa Ransomware

07 de outubro de 2025 | Ravie Lakshmanan | Vulnerabilidade / Segurança em Nuvem

A Microsoft atribuiu ao grupo de ameaças Storm-1175 a exploração de uma falha crítica de segurança no software Fortra GoAnywhere para facilitar a implantação do ransomware Medusa.

A vulnerabilidade, identificada como CVE-2025-10035 (pontuação CVSS: 10.0), é um bug crítico de desserialização que pode resultar em injeção de comandos sem autenticação. Ela foi corrigida na versão 7.8.4.

De acordo com a Microsoft, o Storm-1175 é um grupo cibercriminoso conhecido por implantar o ransomware Medusa e explorar aplicações públicas para acesso inicial desde 11 de setembro de 2025.

A exploração bem-sucedida do CVE-2025-10035 permite que os atacantes realizem descoberta de sistema e usuários, mantenham acesso de longo prazo e implantem ferramentas adicionais para movimento lateral e malware.

A cadeia de ataque inclui:

• Instalação de ferramentas de monitoramento remoto (RMM) como SimpleHelp e MeshAgent
• Criação de arquivos .jsp nos diretórios do GoAnywhere MFT
• Execução de comandos para descoberta de usuários, rede e sistema
• Uso do mstsc.exe para movimento lateral na rede
• Exfiltração de dados usando Rclone
• Implantação final do ransomware Medusa

A watchTowr destacou que as organizações que executam o GoAnywhere MFT estão sob ataque silencioso desde pelo menos 11 de setembro, com os atacantes tendo uma vantagem de um mês antes da confirmação pública da exploração.