Microsoft beschreibt Storm-1175 als Gruppe mit hohem operativem Tempo und ausgeprägter Fähigkeit, exponierte Systeme am Netzwerkrand aufzuspüren. In den vergangenen drei Jahren nutzten die Betreiber demnach mindestens 16 Schwachstellen aus – unter anderem in Microsoft Exchange, Papercut, Ivanti Connect Secure und Policy Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, SAP NetWeaver, CrushFTP, GoAnywhere MFT, SmarterMail und BeyondTrust.
Neu veröffentlichte Lücken werden laut Microsoft praktisch sofort zur Waffe. Die NetWeaver-Schwachstelle nutzte die Gruppe demnach bereits einen Tag nach ihrer öffentlichen Bekanntgabe am 24. April 2025 aus. Beobachtet wurde zudem, wie die Angreifer mehrere Sicherheitslücken verketten, um Remote Code Execution (RCE) auf den betroffenen Systemen zu erreichen. Auch Linux-Systeme, darunter Oracle-WebLogic-Instanzen, gerieten ins Visier.
Nach Angaben von Microsoft hat die Gruppe mindestens drei Zero-Day-Lücken ausgenutzt, darunter CVE-2026-23760 (SmarterMail) und CVE-2025-10035 (GoAnywhere MFT). In einigen Fällen erfolgte die Ausnutzung sieben Tage vor der öffentlichen Offenlegung.
Nach dem Erstzugriff installiert die Gruppe typischerweise eine Web-Shell oder eine Schadkomponente für den Fernzugriff und schreitet meist innerhalb eines Tages zum Datenabfluss und zur Ausführung der verschlüsselnden Ransomware. In diesem Zeitfenster richtet Storm-1175 dauerhaften Zugang ein, betreibt Aufklärung und Seitwärtsbewegung, ändert Firewall-Einstellungen für den Fernzugriff und entwendet Zugangsdaten.
„Wir haben außerdem beobachtet, dass Storm-1175 nach Erlangen von Administratorzugangsdaten ein Skript einsetzte, um Passwörter aus der Backup-Software Veeam wiederherzustellen, die zur Verbindung mit entfernten Hosts dient und so die Ransomware-Verbreitung auf weitere verbundene Systeme ermöglicht“, schreibt Microsoft.
Zum eingesetzten Werkzeugkasten zählen legitime Systemwerkzeuge wie PowerShell und PsExec, Cloudflare-Tunnel, das Remote Desktop Protocol (RDP), verschiedene RMM-Werkzeuge zur Fernwartung, PDQ Deployer zur Ausführung von Schadcode, Impacket und Mimikatz für Seitwärtsbewegung und das Abgreifen von Zugangsdaten sowie Bandizip und Rclone zum Sammeln und Abtransportieren von Daten.
Im Anschluss an den Microsoft-Bericht rufen Tuskira-Mitgründer und CEO Piyush Sharma sowie Pete Luban, Field CISO bei AttackIQ, gefährdete Organisationen dazu auf, interne wie externe Systeme fortlaufend zu inventarisieren und zu überwachen, um angreifbare Komponenten zu erkennen. Die gesteigerte Geschwindigkeit dieser Kampagnen sei ein Wendepunkt für Einrichtungen mit hohem Druck wie Krankenhäuser, Versicherer und Banken – also genau jene Ziele, auf die es Storm-1175 vor allem abgesehen habe, so Sharma. Diese Organisationen hätten ohnehin wenig Spielraum für Ausfälle, komplexe Randinfrastruktur und einen ständigen Patch-Rückstau.
Luban verweist darauf, dass Medusa auf doppelte Erpressung ausgelegt ist: Die Bedrohung beschränke sich nicht auf Ausfallzeiten, sondern umfasse das Risiko öffentlicher Datenveröffentlichung und Folgeschäden wie regulatorische Strafen, den Vertrauensverlust bei Partnern und langfristigen Betrug mit gestohlenen Daten.
