Cybercrimegroep Misbruikt Kritieke Kwetsbaarheid in Medusa Ransomware-aanvallen

Een cybercrimegroep, bekend als Storm-1175, maakt actief gebruik van een ernstige kwetsbaarheid in GoAnywhere MFT voor Medusa ransomware-aanvallen. Deze kwetsbaarheid, aangeduid als CVE-2025-10035, treft Fortra’s webgebaseerde GoAnywhere MFT-transfer tool. Het probleem wordt veroorzaakt door een fout in de gegevensverwerking, waardoor aanvallen vanop afstand zonder gebruikersinteractie mogelijk zijn.

De Shadowserver Foundation houdt nu meer dan 500 online zichtbare GoAnywhere MFT-instanties in de gaten, hoewel het onduidelijk is hoeveel daarvan al zijn geüpdatet.

Op 18 september bracht Fortra een patch uit zonder melding van actieve uitbuiting. Echter, WatchTowr Labs ontdekte een week later dat de kwetsbaarheid sinds 10 september als zero-day werd gebruikt.

Exploitatie bij Medusa Ransomware-aanvallen

Microsoft bevestigde vandaag het rapport van WatchTowr Labs en verklaarde dat een bekende Medusa ransomware-alliantie, aangeduid als Storm-1175, deze kwetsbaarheid sinds 11 september 2025 benut.

Volgens Microsoft Defender analisten werden er activiteiten geïdentificeerd bij meerdere organisaties, waarbij de aanvaller de deserialisatie-kwetsbaarheid in GoAnywhere MFT gebruikte voor aanvankelijke toegang. Voor blijvende toegang maakten ze misbruik van remote monitoring en management tools zoals SimpleHelp en MeshAgent.

Na de initiële toegang, gebruikten ze RMM-binaries, Netscan voor netwerkanalyse, en voerden ze opdrachten uit om gebruikers- en systeemgegevens te achterhalen. Ze bewogen zich door het netwerk met behulp van de Microsoft Remote Desktop Connection client.

Tijdens de aanval werd Rclone ingezet om gestolen bestanden te extraheren en Medusa ransomware om bestanden van slachtoffers te versleutelen.

In maart waarschuwde CISA gezamenlijk met de FBI en MS-ISAC dat de Medusa ransomware-operatie meer dan 300 organisaties in kritieke infrastructuren in de VS had getroffen.

In juli 2024 ontdekte Microsoft dat de Storm-1175 groep samen met andere cybercrimegroepen betrokken was bij aanvallen op een VMware ESXi-verificatie omzeilingskwetsbaarheid, die leidde tot Akira en Black Basta ransomware.

Bescherming Tegen Medusa Ransomware

Om zich te verdedigen tegen Medusa ransomware-aanvallen adviseren Microsoft en Fortra beheerders hun GoAnywhere MFT-servers te upgraden naar de nieuwste versies. Fortra raadt ook aan om logbestanden te controleren op fouten met de SignedObject.getObject string om te bepalen of er sprake is van impact.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.