RansomwareSchwachstellenHackerangriffe

Chinesische Hackergruppe Storm-1175 nutzt Zero-Day-Lücken für Medusa-Ransomware-Anschläge

Chinesische Hackergruppe Storm-1175 nutzt Zero-Day-Lücken für Medusa-Ransomware-Anschläge
Zusammenfassung

Die chinesische Hackergruppe Storm-1175 nutzt eine Kombination aus bislang unbekannten Zero-Day-Schwachstellen und bereits öffentlich gemachten Sicherheitslücken, um weltweit Organisationen anzugreifen und die Medusa-Ransomware einzuschleusen. Laut Microsoft konzentriert sich die finanziell motivierte Gruppe auf Gesundheitseinrichtungen, Bildungsorganisationen, Finanz- und Beratungsunternehmen in Australien, Großbritannien und den USA. Storm-1175 zeichnet sich durch eine bemerkenswert schnelle Operationsgeschwindigkeit aus: Nach dem initialen Eindringen verschaffen sich die Angreifer innerhalb weniger Tage oder sogar 24 Stunden Zugang zu sensiblen Daten und deployen anschließend die Ransomware. Die Gruppe verketttet gezielt mehrere Exploits miteinander, erstellt Persistenzmechanismen durch neue Benutzerkonten und legitime Remote-Management-Tools und deaktiviert Sicherheitslösungen. Besonders besorgniserregend ist die Taktik, verbreitete RMM-Software wie AnyDesk oder ConnectWise als Tarnkappe für böswillige Aktivitäten zu missbrauchen. Für deutsche Unternehmen und Behörden – insbesondere im Gesundheits-, Finanz- und Bildungssektor – stellt diese Bedrohung ein erhebliches Risiko dar, da Storm-1175 kontinuierlich neue Schwachstellen ausnutzt und zwischen Disclosure und Patch-Verfügbarkeit ein kritisches Zeitfenster ausnutzt, in dem Systeme ungeschützt bleiben.

Die chinesische Hackergruppe Storm-1175 hat sich als eine der gefährlichsten Ransomware-Operationen etabliert. Ihr Arsenal umfasst sowohl unbekannte Zero-Day-Exploits als auch kürzlich veröffentlichte Sicherheitslücken, die sie zeitnah zu nutzen weiß. Besonders bemerkenswert ist ihre Geschwindigkeit: In manchen Fällen vergeht zwischen dem initialen Zugriff und der Medusa-Ransomware-Deployment weniger als ein Tag.

Microsoft hat dokumentiert, dass Storm-1175 seit 2023 mehr als 16 verschiedene Schwachstellen ausgenutzt hat. Die CVE-2025-10035 und CVE-2026-23760 wurden sogar als Zero-Days exploitiert, bevor sie öffentlich bekannt waren. Dies unterstreicht die technische Sophistication der Gruppe, die offenbar Zugang zu unbekannten Sicherheitslücken oder einen großen eigenen Research-Apparat besitzt.

Eine besondere Taktik der Gruppe liegt in der Nutzung von RMM-Tools (Remote Monitoring and Management). Anwendungen wie AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect und SimpleHelp werden von Storm-1175 als Persistenzmechanismus missbraucht. Diese legitimen Tools bieten den Vorteil, dass ihr Datenverkehr verschlüsselt ist und leicht als vertrauenswürdig eingestuft wird — wodurch sie unter dem Radar von Sicherheitslösungen operieren können.

Das Vorgehen ist professionell strukturiert: Nach dem initialen Zugriff erstellt die Gruppe zunächst neue Benutzerkonten, deployt Web Shells, nutzt RMM-Software für laterale Bewegungen durch das Netzwerk und stiehlt Anmeldedaten. Parallel dazu werden Sicherheitslösungen beeinträchtigt oder deaktiviert. Erst dann folgt die Ransomware-Deployment.

In letzter Zeit hat sich Storm-1175 auch auf Linux-Systeme spezialisiert, insbesondere auf anfällige Oracle-WebLogic-Instanzen. Die genaue Schwachstelle bleibt hier oft unklar, was auf eine gezielte Operationssicherheit hindeutet.

Microsoft warnt vor der “Exploit-Rotation”-Strategie der Gruppe: Sie wechselt ihre Angriffsvektoren schnell zwischen der Veröffentlichung einer Lücke und der Verfügbarkeit von Patches. Dieses Zeitfenster wird systematisch ausgenutzt, da viele Organisationen nicht sofort patchen. Für deutsche Unternehmen bedeutet dies: Zero-Day-Exploits sind eine reale Bedrohung, und schnelle Patch-Management-Prozesse sind essentiell. Gleichzeitig sollten RMM-Tools kritisch überwacht und möglicherweise eingeschränkt werden.

Ähnliche Artikel