Агресивна еволюция на ransomware заплахите

Microsoft алармира за сериозна ескалация в дейността на китайската киберпрестъпна група Storm-1175, която стои зад разпространението на ransomware-а Medusa ransomware.

Групата демонстрира изключително висока скорост на атака, като използва както n-day, така и zero-day уязвимости, за да компрометира организации в рамките на часове или дни.

Атаки в рамките на 24 часа

Според анализа:

• Storm-1175 може да премине от първоначален достъп до експортиране на данни и криптиране за по-малко от 24 часа
• В някои случаи експлоатира уязвимости още преди официалното им пачване
• Нови уязвимости се „въоръжават“ (weaponize) в рамките на ден

Това поставя организациите в ситуация, в която традиционният patch management вече не е достатъчен.

Целеви индустрии и география

Най-засегнати от последните кампании са:

• Здравеопазване
• Образование
• Професионални услуги
• Финансов сектор

Атаките са концентрирани основно в:

• Австралия
• Обединеното кралство
• САЩ

Storm-1175 показва особена ефективност при идентифициране на изложени публични системи (perimeter assets).

Как протича атаката

Групата използва комбинирани експлойти (exploit chaining), за да постигне устойчив достъп и контрол:

• Създаване на нови потребителски акаунти
• Инсталиране на RMM (remote monitoring and management) инструменти
• Кражба на идентификационни данни
• Деактивиране на защитни решения
• Деплой на ransomware

Този модел показва високо ниво на оперативна зрялост и автоматизация.

Zero-day и n-day експлоатация в реални атаки

Сред най-значимите случаи:

• Уязвимост в GoAnywhere MFT (CVE-2025-10035) – експлоатирана над седмица преди patch
• Zero-day в SmarterMail (CVE-2026-23760) – bypass на автентикация

Въпреки това, Microsoft подчертава, че групата все още разчита основно на n-day уязвимости, което означава, че много организации остават уязвими поради забавени актуализации.

Широк арсенал от цели

Storm-1175 е използвала над 16 уязвимости в различни платформи, включително:

• Microsoft Exchange
• Ivanti Connect Secure
• ConnectWise ScreenConnect
• JetBrains TeamCity
• CrushFTP
• BeyondTrust

Тази диверсификация показва, че групата не разчита на един вектор, а адаптира стратегията си спрямо наличните уязвимости.

Връзки с други ransomware операции

Още през 2024 г. Microsoft свърза Storm-1175 с атаки, включващи:

• Black Basta
• Akira ransomware

Тези кампании използват уязвимости в VMware ESXi, което подсказва възможно сътрудничество или споделяне на ресурси между групи.

Заплаха за критичната инфраструктура

През 2025 г. CISA, заедно с ФБР и MS-ISAC, предупреждават, че атаките с Medusa са засегнали над 300 организации от критичната инфраструктура в САЩ.

Ключовият извод

Storm-1175 олицетворява новото поколение киберпрестъпност:

Скорост + автоматизация + агресивна експлоатация на уязвимости = минимално време за реакция

Организациите трябва да преминат от реактивна към проактивна защита, включваща:

• непрекъснат мониторинг
• attack surface management
• zero trust модели
• бърза реакция при инциденти