Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Storm 1175 scatena Medusa: ransomware in 24 ore sfruttando zero‑day e CVE non patchate
Nel panorama della cybersecurity, il gruppo noto come Storm 1175 si distingue per la capacità di condurre attacchi ad alta velocità contro sistemi esposti su internet, con l’obiettivo di distribuire rapidamente il ransomware Medusa. La caratteristica più preoccupante di queste campagne è l’uso combinato di vulnerabilità zero day e di falle già note ma non ancora corrette, sfruttate per ottenere accesso iniziale a infrastrutture critiche.
Le intrusioni hanno colpito in modo significativo organizzazioni sanitarie, ma anche realtà nei settori istruzione, servizi professionali e finanza, in paesi come Australia, Regno Unito e Stati Uniti.
Una volta individuati asset perimetrali vulnerabili, gli attaccanti accelerano le fasi operative. Dopo il primo accesso, puntano alla sottrazione di dati e alla cifratura dei sistemi con Medusa in pochi giorni, e in alcuni casi entro 24 ore. Questo modello di attacco aumenta la pressione sulle vittime e riduce la finestra utile per rilevare e contenere l’incidente prima dell’impatto.
Per mantenere la persistenza e muoversi lateralmente nella rete, Storm 1175 crea nuovi account, installa web shell o utilizza software legittimi di remote monitoring and management. Questa scelta consente di mimetizzare le attività malevole dentro canali cifrati e strumenti considerati affidabili. Tra le tecniche osservate figurano anche furto di credenziali, disabilitazione o indebolimento delle difese e preparazione dell’ambiente prima del rilascio del ransomware.
Dal 2023 il gruppo è stato associato allo sfruttamento di oltre 16 CVE che coinvolgono prodotti molto diffusi, tra cui Microsoft Exchange Server, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, Fortra GoAnywhere MFT, SmarterMail e BeyondTrust. In due casi specifici, alcune vulnerabilità sarebbero state usate come zero day prima della divulgazione pubblica, evidenziando una notevole capacità di weaponization. Inoltre, è stata rilevata una crescente attenzione verso sistemi Linux e istanze Oracle WebLogic esposte.
A livello tattico, gli attaccanti sfruttano LOLBins come PowerShell e PsExec, oltre a strumenti come Impacket per il movimento laterale. Usano anche PDQ Deployer per distribuire payload, modificano policy del firewall Windows per abilitare RDP, eseguono credential dumping con Mimikatz e impostano esclusioni in Microsoft Defender per evitare blocchi. Per raccolta ed esfiltrazione dati compaiono Bandizip e Rclone, completando una catena operativa progettata per velocità e affidabilità.