RansomwareSchwachstellenHackerangriffe

Storm-1175: Die schnelle Bedrohung durch Medusa-Ransomware

Storm-1175: Die schnelle Bedrohung durch Medusa-Ransomware
Zusammenfassung

Die Cyberkriminalgruppe Storm-1175 führt derzeit hochfrequentierte Anschläge mit der Medusa-Ransomware durch und setzt Organisationen damit unter massiven Druck, kritische Sicherheitslücken schneller zu schließen. Wie Microsoft Threat Intelligence dokumentiert, nutzt die finanziell motivierte Gruppe gezielt das Zeitfenster zwischen der Veröffentlichung von Schwachstellen und ihrer flächendeckenden Behebung aus – und operiert dabei mit beeindruckender Geschwindigkeit: Von der initialen Ausnutzung einer Lücke bis zur Ausführung der Ransomware vergehen oft nur wenige Tage, manchmal sogar nur 24 Stunden. Die Angreifer haben bereits mehr als ein Dutzend bekannter Sicherheitslücken ausgenutzt und konnten dabei besonders in Australien, Großbritannien und den USA zugreifen – mit schwerwiegenden Folgen für Organisationen im Gesundheitswesen, Bildungs-, Finanz- und Beratungssektor. Für deutsche Unternehmen und Behörden bedeutet dies eine erhebliche Gefährdung, da die extrem schnelle Angriffstaktik herkömmliche Patch-Management-Prozesse überfordert. Die Fähigkeit von Storm-1175, auch Microsoft Defender auszuschalten und privilegierte Konten zu missbrauchen, unterstreicht die Notwendigkeit sofortiger Sicherheitsmaßnahmen und einer Neubewertung bestehender Schutzstrategien.

Storm-1175 operiert nach einem bewährten Schema: Angreifer identifizieren exponierte Systeme im Internet, exploitieren bekannte oder neu entdeckte Sicherheitslücken, exfiltrieren sensible Daten und verschlüsseln schließlich die Systeme mit Ransomware. Alles in wenigen Tagen, manchmal sogar in 24 Stunden. Diese extreme Geschwindigkeit macht die Hackergruppe zur aktuellen Schreckensmeldung in der Cybersecurity-Community.

Microsoft hat dokumentiert, dass Storm-1175 mehr als ein Dutzend Sicherheitslücken gezielt ausnutzt. Zu den jüngsten Fällen gehört CVE-2026-1731, eine kritische Remote-Code-Execution-Lücke in BeyondTrust Remote Support. Die Schwachstelle wurde am 6. Februar offengelegt und eine Woche später war sie bereits auf der CISA-Liste der exploitierten Sicherheitslücken. Auch CVE-2025-31161 in CrushFTP, CVE-2024-27198 in JetBrains TeamCity und CVE-2023-21529 in Microsoft Exchange wurden von der Gruppe genutzt. Besonders bemerkenswert: Storm-1175 hat auch Zero-Day-Lücken eingesetzt, etwa CVE-2026-23760 in SmarterMail und CVE-2025-10035 in GoAnywhere MFT – teilweise etwa eine Woche vor öffentlicher Offenlegung.

Das operative Handwerk dieser Gruppe ist ausgefeilter als vieles, das bislang beobachtet wurde. Sie nutzen RMM-Software (Remote Monitoring and Management) für laterale Bewegungen im Netzwerk, das Tool Impacket zur Credential-Dumping und Rclone für Datenexfiltration. Besonders perfide ist ihre Fähigkeit, Microsoft Defender Antivirus zu manipulieren: Sie ändern Registry-Einträge und deaktivieren damit Scans, sodass Medusa-Payloads ungehindert ausgeführt werden können.

Diese Manipulation erfordert zwar hochprivilegierte Konten, unterstreicht aber die kritische Bedeutung der Credential-Dumping-Phase im Angriffszyklus. Sherrod DeGrippo von Microsoft Threat Intelligence betont daher: Patches müssen unmittelbar nach Veröffentlichung priorisiert werden.

Für deutsche Organisationen lauten die Handlungsempfehlungen: Windows Defender Antivirus’ Tamper-Protection aktivieren, die Einstellung “DisableLocalAdminMerge” nutzen, webbasierte Systeme isolieren und hinter Web-Application-Firewalls oder Proxy-Servern schützen. Auch Windows Credential Guard sollte implementiert werden. Die Botschaft ist klar: Bei Storm-1175 gibt es keine Zeit für langsame Reaktionen.

Ähnliche Artikel