RansomwareSchwachstellenHackerangriffe

Storm-1175: Chinesische Cyberkriminelle nutzen Zero-Day-Exploits für Medusa-Ransomware-Anschläge

Storm-1175: Chinesische Cyberkriminelle nutzen Zero-Day-Exploits für Medusa-Ransomware-Anschläge
Zusammenfassung

Die chinesische Cyberkriminellengruppe Storm-1175 hat sich als hochgradig professionelle und adaptive Bedrohung etabliert, die gezielt Zero-Day- und N-Day-Exploits einsetzt, um Unternehmen weltweit mit der Medusa-Ransomware anzugreifen. Microsoft warnt vor der bemerkenswert hohen Operationsgeschwindigkeit dieser Gruppe, die es schafft, identifizierte Sicherheitslücken teilweise innerhalb von 24 Stunden auszunutzen und Systeme vollständig zu kompromittieren. Besonders besorgniserregend ist die Tatsache, dass Storm-1175 über ein breites Arsenal verfügt und mehr als 16 Schwachstellen in zehn verschiedenen Softwareprodukten ausnutzt – von Microsoft Exchange über JetBrains TeamCity bis hin zu ConnectWise ScreenConnect. Die Anschläge treffen vorrangig Organisationen im Gesundheitswesen, Bildungs-, Finanz- und professionellen Dienstleistungssektor in Australien, Großbritannien und den USA. Für deutsche Behörden und Unternehmen stellt diese Entwicklung ein erhebliches Risiko dar, da deutsche Infrastruktur ähnliche Systeme nutzt und die Gruppe ihre geografische Reichweite kontinuierlich erweitert. Das Zusammenspiel aus technischer Expertise, schneller Reaktionszeit und der Bereitschaft zur Datenexfiltration macht Storm-1175 zu einer der gefährlichsten Ransomware-Bedrohungen der Gegenwart.

Die von Microsoft identifizierte Gruppe Storm-1175 arbeitet mit beeindruckender Effizienz. Die Angreifer kombinieren mehrere Exploits geschickt miteinander, um Persistenz auf kompromittierten Systemen zu etablieren. Neben dem direkten Zugriff legen sie neue Benutzerkonten an, installieren Remote-Management-Software, stehlen Anmeldedaten und deaktivieren Sicherheitssoftware, bevor sie schließlich die Ransomware bereitstellen.

Microsoft hat mehrere kritische Angriffsmuster dokumentiert. Im Oktober 2024 beobachtete das Unternehmen, dass Storm-1175 eine kritische Schwachstelle in GoAnywhere MFT (CVE-2025-10035) über eine Woche lang ausnutzte, bevor ein Patch verfügbar war. Auch CVE-2026-23760, eine Authentifizierungslücke im Email-Server SmarterMail, wurde als Zero-Day-Exploit eingesetzt.

Die Liste der insgesamt über 16 ausgebeuteten Schwachstellen in zehn verschiedenen Softwareprodukten ist beeindruckend: Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP und weitere Systeme. Diese Vielfalt deutet darauf hin, dass Storm-1175 nicht nur auf einzelne Ziele spezialisiert ist, sondern flexibel verschiedenste Umgebungen angreift.

Microsoft vermutet, dass die Gruppe entweder ihre Entwicklungskapazitäten erheblich verbessert hat oder auf Zugriff zu Exploit-Brokern verfügt – ein Indiz für professionelle Strukturen im Cyberkriminalgeschäft. Allerdings nutzt Storm-1175 weiterhin primär N-Day-Exploits, während Zero-Days die Ausnahme bleiben.

Das US-Cybersecurity and Infrastructure Security Agency (CISA) warnte im März 2025 vor den Auswirkungen der Medusa-Ransomware-Kampagnen: Über 300 kritische Infrastrukturorganisationen in den USA wurden kompromittiert. Microsoft verknüpfte die Gruppe zudem mit Black Basta und Akira Ransomware-Angriffen, insbesondere bei der Ausnutzung von VMware ESXi-Sicherheitslücken.

Für deutsche Organisationen ist ein sofortiges Handeln erforderlich: Patch-Management muss forciert werden, insbesondere für die dokumentierten kritischen Systeme. Sicherheitsteams sollten ihre Perimeter-Assets offensiver überwachen und Zugangskontrollen verstärken. Die hohe Operationsgeschwindigkeit von Storm-1175 erfordert eine ebenso schnelle Reaktionsfähigkeit bei Sicherheitsvorfällen.

Ähnliche Artikel