RansomwareSchwachstellenHackerangriffe

Medusa-Ransomware: Russische Hacker nutzen Zero-Days für Blitzanschläge innerhalb von 24 Stunden

Medusa-Ransomware: Russische Hacker nutzen Zero-Days für Blitzanschläge innerhalb von 24 Stunden
Zusammenfassung

Die russische Ransomware-Gruppe Medusa nutzt nach Erkenntnissen von Microsoft gezielt Zero-Day-Vulnerabilities aus, um blitzschnell in Unternehmenssysteme einzudringen. Die Angreifer exploitieren Sicherheitslücken teilweise schon wenige Tage vor ihrer öffentlichen Bekanntmachung und können vom initialen Zugriff bis zur vollständigen Datenexfiltration und Ransomware-Bereitstellung innerhalb von nur 24 Stunden agieren. Besonders bemerkenswert ist die extreme Effizienz der Gruppe: Sie zielt gezielt auf exponierte Web-basierte Systeme ab und nutzt das kritische Zeitfenster zwischen Vulnerability Disclosure und massiver Patch-Verbreitung. Jüngste Anschläge trafen das größte Krankenhaus in Mississippi und einen County in New Jersey, doch Medusa operiert international und hat auch im Vereinigten Königreich und Australien zugeschlagen. Die Angreifer bevorzugen Ziele im Gesundheitswesen, Bildungssektor, in der Finanzbranche und bei professionellen Dienstleistern. Für deutsche Unternehmen und Behörden stellt diese Entwicklung eine erhebliche Bedrohung dar, da auch sie zu den bevorzugten Zielen von international agierenden Ransomware-Gruppen zählen. Der aggressive Ansatz von Medusa, Sicherheitslücken nahezu in Echtzeit auszunutzen, erfordert von Organisationen schnelle Reaktionszeiten und proaktive Sicherheitsmaßnahmen.

Microsoft-Sicherheitsexperten haben eine detaillierte Analyse der Medusa-Ransomware-Gruppe veröffentlicht, die zeigt, wie effektiv und gefährlich diese Cyberkriminellen geworden sind. Die Gruppe, die seit 2021 aktiv ist, hat sich zu einer der gefährlichsten Ransomware-Operationen entwickelt — mit einer bemerkenswert hohen operativen Geschwindigkeit und Präzision.

Das besonders Besorgniserregende: Medusa-Akteure haben gelernt, Sicherheitslücken zu exploitieren, bevor diese überhaupt öffentlich bekannt werden. Microsoft dokumentierte mehrere Fälle, in denen die Gruppe Vulnerabilities wie CVE-2026-23760 in SmarterMail und CVE-2025-10035 in GoAnywhere Managed File Transfer bereits eine Woche vor der offiziellen Disclosure ausnutzte. Die CISA bestätigte bereits, dass diese CVEs in tatsächlichen Ransomware-Angriffen eingesetzt wurden.

Die typische Angriffsablauf folgt einem bewährten Schema: Nach dem initialen Zugriff erstellen die Hacker sofort neue Benutzerkonten, um ihren Zugang zu sichern. Sie nutzen legitimierte Remote-Management-Tools wie ConnectWise ScreenConnect, AnyDesk und SimpleHelp, um ihre Präsenz zu verschleiern. Während manche Attacken in nur 24 Stunden abgelaufen sind, dauern typische Medusa-Vorfälle fünf bis sechs Tage.

Die Gruppe konzentriert sich schwerpunktmäßig auf Organisationen im Gesundheitswesen, im Bildungssektor, in professionellen Dienstleistungen und der Finanzbranche — hauptsächlich in Australien, Großbritannien und den USA. Die zuletzt bekannt gewordenen Anschläge auf das University of Mississippi Medical Center und den New Jersey Passaic County verdeutlichen die Bedrohung im realen Leben.

Microsoft und Sicherheitsexperten gehen davon aus, dass Medusa in Russland beheimatet ist. Das deutet das Vermeiden von Zielen in den Staaten der Gemeinschaft Unabhängiger Staaten an, russischsprachige Forenaktivitäten und die Verwendung von kyrillischen Schriftzeichen in operativen Tools hin. Kürzlich berichtete Symantec zudem, dass auch die nordkoreanische Lazarus-Gruppe Medusa-Ransomware eingesetzt hat.

Für Organisationen weltweit, insbesondere in Deutschland, ist klar: Die Fenster zum Reagieren werden immer kürzer. Es genügt nicht mehr, auf Patch-Days zu warten. Unternehmen müssen ihre digitale Infrastruktur kontinuierlich überwachen und ihre Angriffsflächenreduzieren — bevor es zu spät ist.

Ähnliche Artikel