**Microsoft** hat eine Warnung bezüglich **Storm-1175** herausgegeben, einer chinesischen Cybercrime-Gruppe, die aktiv sowohl bekannte als auch Zero-Day-Schwachstellen ausnutzt, um **Medusa**-Ransomware in rasanten Angriffen zu verbreiten. ### Schnelle Ausnutzung von Schwachstellen Diese Cybercrime-Bande zeigt eine bemerkenswerte Fähigkeit, sich schnell anzupassen und neue Sicherheitslücken ins Visier zu nehmen, wodurch sie mit alarmierender Geschwindigkeit Zugang zu Opfernetzwerken erhält. In einigen Fällen wurden Exploits innerhalb eines einzigen Tages entwickelt und Schwachstellen eine Woche vor der Veröffentlichung von Patches ausgenutzt. "Storm-1175 bewegt sich schnell vom anfänglichen Zugriff zur Datenexfiltration und Bereitstellung von Medusa-Ransomware, oft innerhalb weniger Tage und in einigen Fällen innerhalb von 24 Stunden", erklärte **Microsoft** in einem aktuellen Blogbeitrag zur Sicherheit.  Ihr operatives Tempo und ihre Kompetenz bei der Identifizierung exponierter Perimeter-Assets haben sich als erfolgreich erwiesen. Jüngste Einbrüche haben stark die Sektoren Gesundheitswesen, Bildung, professionelle Dienstleistungen und Finanzen in Australien, dem Vereinigten Königreich und den Vereinigten Staaten beeinträchtigt. ### Angriffs-Kette und Persistenz **Microsoft** hat beobachtet, dass **Storm-1175**-Betreiber mehrere Exploits miteinander verketten, um Persistenz auf kompromittierten Systemen zu etablieren. Dies beinhaltet die Erstellung neuer Benutzerkonten, die Bereitstellung von Remote Monitoring and Management (RMM)-Software, den Diebstahl von Anmeldeinformationen und die Deaktivierung von Sicherheitssoftware, bevor Ransomware-Payloads bereitgestellt werden.  *Storm-1175 Angriffs-Kette (Microsoft)* ### Bemerkenswerte Exploits Im Oktober berichtete **Microsoft**, dass **Storm-1175** eine kritische **GoAnywhere** MFT-Schwachstelle (**CVE-2025-10035**) bei **Medusa**-Ransomware-Angriffen über eine Woche lang ausnutzte, bevor ein Patch veröffentlicht wurde. Ein weiterer bemerkenswerter Zero-Day-Exploit, der von **Storm-1175** verwendet wurde, war **CVE-2026-23760**, eine Authentifizierungs-Bypass-Schwachstelle in **SmarterTools' SmarterMail**, einem E-Mail-Server und Kollaborationstool. **Microsoft** stellte fest, dass die jüngsten Angriffe der Gruppe zwar eine weiterentwickelte Entwicklungskapazität zeigen, frühere Angriffe auf **GoAnywhere** MFT durch Ransomware-Angreifer und Ähnlichkeiten zwischen der **SmarterMail**-Schwachstelle und einer zuvor offengelegten Schwäche jedoch die Zero-Day-Exploitation-Aktivitäten erleichtert haben könnten. ### Große Bandbreite an anvisierten Schwachstellen In jüngsten Kampagnen hat **Storm-1175** mehr als 16 Schwachstellen in 10 Softwareprodukten ausgenutzt, darunter: * **Microsoft Exchange** (**CVE-2023-21529**) * **Papercut** (**CVE-2023-27351** und **CVE-2023-27350**) * **Ivanti Connect Secure** und **Policy Secure** (**CVE-2023-46805** und **CVE-2024-21887**) * **ConnectWise ScreenConnect** (**CVE-2024-1709** und **CVE-2024-1708**) * **JetBrains TeamCity** (**CVE-2024-27198** und **CVE-2024-27199**) * **SimpleHelp** (**CVE-2024-57726**, **CVE-2024-57727** und **CVE-2024-57728**) * **CrushFTP** (**CVE‑2025‑31161**) * **SmarterMail** (**CVE-2025-52691**) * **BeyondTrust** (**CVE-2026-1731**) ### Frühere Warnungen und Verbindungen Im März 2025 gaben **CISA**, das **FBI** und das **MS-ISAC** eine gemeinsame Warnung heraus, dass **Medusa**-Ransomware-Angriffe über 300 Organisationen der kritischen Infrastruktur in den Vereinigten Staaten beeinträchtigt hatten. Im Juli 2024 verband **Microsoft** **Storm-1175** zusammen mit drei anderen Cybercrime-Gruppen mit **Black Basta**- und **Akira**-Ransomware-Angriffen, die eine **VMware ESXi**-Authentifizierungs-Bypass-Schwachstelle ausnutzten.