- Storm-1175 geht schnell vom Zugriff zur Ransomware-Bereitstellung über
- Nutzt Zero-Days und N-Days über mehrere Produkte hinweg aus
- Zielgruppe sind Gesundheitswesen, Finanzen, Bildung und professionelle Dienstleistungen
Das chinesischsprachige Hacker-Kollektiv Storm-1175 schreitet schnell voran und geht vom ersten Zugriff bis zur vollständigen Systemkompromittierung und Datenexfiltration innerhalb von Wochen und manchmal in weniger als 24 Stunden, warnen Experten.
Ein neues Bericht aus Microsoft behauptet, die Gruppe habe in ihren Aktivitäten mehrere Schwachstellen ausgenutzt, sowohl Zero-Day- als auch N-Day-Fehler. In einigen Fällen würden sie sogar verschiedene Fehler miteinander verketten, um bessere Ergebnisse zu erzielen.
Dem Bericht zufolge handelt es sich bei Storm-1175 nicht um einen staatlich geförderten Akteur, sondern um eine eigenständige, auf Profit ausgerichtete Gruppe. Sie richten sich vor allem an Gesundheitsorganisationen, Bildungsunternehmen, professionelle Dienstleister und Unternehmen im Finanzsektor. Die Opfer leben hauptsächlich in den Vereinigten Staaten, im Vereinigten Königreich und in Australien.
Der Artikel wird weiter unten fortgesetzt
Dutzende Schwachstellen
Die wichtigste Erkenntnis hierbei ist die Geschwindigkeit, mit der die Gruppe agiert: „Nach der erfolgreichen Ausnutzung geht Storm-1175 schnell vom ersten Zugriff zur Datenexfiltration und zum Einsatz von Medusa über Ransomware„, oft innerhalb weniger Tage und in einigen Fällen innerhalb von 24 Stunden“, sagten die Forscher. „Die hohe Einsatzgeschwindigkeit des Bedrohungsakteurs und seine Kompetenz bei der Identifizierung exponierter Perimeter-Assets haben sich als erfolgreich erwiesen.“
Beim Erstzugang wechselt die Gruppe im Slalom zwischen Null- und N-Tagen. Bei Zero-Days wurde beobachtet, wie sie Fehler bereits eine Woche vor der Veröffentlichung missbrauchten, und bei N-Days versuchten sie, sie so schnell wie möglich auszunutzen – was den Verteidigern nur sehr wenig Zeit gab, Patches und Abhilfemaßnahmen bereitzustellen.
Bisher wurden mehr als 16 Schwachstellen identifiziert, die 10 Produkte betreffen. Dazu gehören Microsoft Exchange (CVE-2023-21529), Papercut (CVE-2023-27351 und CVE-2023-27350), Ivanti Connect Secure und Policy Secure (CVE-2023-46805 und CVE-2024-21887) und ConnectWise ScreenConnect (CVE-2024-1709 und CVE-2024-1708).
Weitere bemerkenswerte Erwähnungen umfassen Fehler in JetBrains TeamCity (CVE-2024-27198 und CVE-2024-27199), SimpleHelp (CVE-2024-57726, CVE-2024-57727 und CVE-2024-57728), CrushFTP (CVE-2025-31161) und SmarterMail (CVE-2025-52691) und BeyondTrust (CVE-2026-1731).
Nach dem Einbruch setzten die Kriminellen unzählige verschiedene Werkzeuge ein, um seitliche Bewegung, Ausdauer und Tarnung zu ermöglichen. Vor der Bereitstellung der Medusa-Ransomware-Variante würden sie alle installierten Antiviren- oder Endpunktschutz-Tools deaktivieren.
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
