Storm-1175 i Medusa: ransomware przyspiesza, a czas reakcji liczy się w godzinach - Security Bez Tabu

Storm-1175 i Medusa: ransomware przyspiesza, a czas reakcji liczy się w godzinach

Cybersecurity news

Wprowadzenie do problemu / definicja

Współczesne kampanie ransomware coraz częściej opierają się nie tylko na skuteczności technicznej, ale również na wyjątkowo wysokim tempie działania. Dobrym przykładem tego trendu jest aktywność grupy Storm-1175, łączonej z wdrażaniem ransomware Medusa. W tym modelu ataku kluczowe znaczenie ma wykorzystanie krótkiego okna pomiędzy publicznym ujawnieniem podatności a faktycznym wdrożeniem poprawek przez organizacje.

Z perspektywy obrońców oznacza to zmianę zasad gry. Tam, gdzie wcześniej liczono na dni lub tygodnie potrzebne atakującym do rozpoznania środowiska, dziś pełny łańcuch kompromitacji może zamknąć się nawet w ciągu jednej doby.

W skrócie

Storm-1175 to grupa cyberprzestępcza motywowana finansowo, która prowadzi operacje o bardzo dużej dynamice. Atakujący identyfikują publicznie dostępne systemy brzegowe, wykorzystują podatności w usługach wystawionych do Internetu, przechodzą do kradzieży poświadczeń, ruchu lateralnego i eksfiltracji danych, a następnie uruchamiają ransomware Medusa.

  • Czas od uzyskania dostępu do wdrożenia szyfrującego ładunku może wynosić około 24 godzin.
  • Szczególnie narażone są organizacje z sektorów ochrony zdrowia, edukacji, usług profesjonalnych i finansów.
  • Atak opiera się głównie na szybkości operacyjnej i nadużywaniu znanych, ale jeszcze niezałatanych podatności.

Kontekst / historia

Model określany jako high-velocity ransomware nie jest zjawiskiem całkowicie nowym, jednak obecnie osiągnął znacznie wyższy poziom dojrzałości. Zamiast długiego rozpoznania i wielotygodniowej obecności w sieci ofiary, napastnicy korzystają z automatyzacji, sprawnego skanowania Internetu oraz gotowych procedur poeksploatacyjnych.

W kampaniach przypisywanych Storm-1175 istotną rolę odgrywają podatności typu N-day, czyli luki już publicznie znane, ale nadal niewystarczająco szybko łatane przez organizacje. Wśród wskazywanych przykładów znajduje się między innymi CVE-2024-27198 w JetBrains TeamCity, pozwalająca na obejście uwierzytelniania i wykonanie działań administracyjnych. Tego typu podatności są szczególnie atrakcyjne dla operatorów ransomware, ponieważ często dotyczą usług dostępnych z Internetu i mogą szybko doprowadzić do eskalacji incydentu.

Coraz częściej podkreśla się również ryzyko wykorzystania luk typu zero-day. Oznacza to, że organizacje nie mogą polegać wyłącznie na klasycznym modelu zarządzania poprawkami, lecz powinny zakładać możliwość kompromitacji jeszcze przed publikacją oficjalnych aktualizacji.

Analiza techniczna

Łańcuch ataku stosowany przez Storm-1175 jest zoptymalizowany pod kątem czasu i ograniczenia działań, które mogłyby spowolnić operatorów. Najpierw identyfikowane są systemy brzegowe wystawione do Internetu, zwłaszcza rozwiązania do zdalnego dostępu, transferu plików, poczty oraz zarządzania infrastrukturą.

Następnie atakujący wykorzystują podatności umożliwiające zdalne wykonanie kodu, obejście uwierzytelniania albo przejęcie sesji administracyjnej. Po uzyskaniu pierwszego dostępu przechodzą do utrwalenia obecności i przemieszczania się w sieci przy użyciu narzędzi administracyjnych oraz rozwiązań klasy RMM.

Kolejnym etapem jest kradzież poświadczeń i eskalacja uprawnień. To moment krytyczny, ponieważ dostęp do kont uprzywilejowanych pozwala osłabić mechanizmy ochronne i przygotować środowisko do wdrożenia ransomware. W opisywanych kampaniach zwraca się uwagę również na modyfikowanie ustawień Microsoft Defender Antivirus, między innymi poprzez zmiany w rejestrze systemu Windows, które mogą ułatwić uruchomienie ładunku bez wzbudzania alarmów.

Przed samym szyfrowaniem dochodzi do eksfiltracji danych, na przykład przy użyciu narzędzi takich jak Rclone. Ten etap wspiera model podwójnego wymuszenia, w którym ofiara jest szantażowana zarówno niedostępnością systemów, jak i groźbą ujawnienia skradzionych informacji. Dopiero po przygotowaniu środowiska uruchamiany jest ransomware Medusa.

Najważniejszy wniosek techniczny dotyczy jednak tempa całej operacji. Jeżeli od pierwszej kompromitacji do szyfrowania mija mniej niż 24 godziny, tradycyjne i wieloetapowe procesy triage przestają być wystarczające.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem kampanii prowadzonych w takim modelu jest drastyczne skrócenie czasu reakcji dostępnego dla zespołów bezpieczeństwa. Organizacje działające w oparciu o ręczne procesy walidacji, długie ścieżki akceptacji i standardowe okna serwisowe mogą po prostu nie zdążyć zareagować.

  • Ryzyko operacyjne – szybkie zaszyfrowanie systemów może sparaliżować działalność biznesową.
  • Ryzyko danych – eksfiltracja przed szyfrowaniem zwiększa presję na ofiarę i koszty incydentu.
  • Ryzyko uprzywilejowanego dostępu – przejęcie kont administracyjnych umożliwia osłabienie ochrony i utrudnia odtworzenie środowiska.
  • Ryzyko ekspozycji usług publicznych – szczególnie narażone są zasoby dostępne bezpośrednio z Internetu.
  • Ryzyko wtórne – nawet po przywróceniu działania pozostają skutki regulacyjne, finansowe i reputacyjne.

Kampanie oparte na podatnościach N-day pokazują także, że sama wiedza o luce nie oznacza jeszcze bezpieczeństwa. Jeżeli patch management nie działa w trybie priorytetowym dla systemów brzegowych, organizacja pozostaje podatna na szybki atak.

Rekomendacje

Aby ograniczyć ryzyko ataków podobnych do operacji Storm-1175, potrzebne jest połączenie działań organizacyjnych, technicznych i operacyjnych. Najważniejsze jest skrócenie czasu pomiędzy wykryciem ryzyka a wdrożeniem realnej ochrony.

  • Priorytetowo łatać systemy wystawione do Internetu, zamiast czekać na standardowy cykl utrzymaniowy.
  • Ograniczać ekspozycję publiczną usług poprzez segmentację, DMZ, reverse proxy i mechanizmy WAF.
  • Wzmacniać ochronę poświadczeń, ograniczać użycie kont uprzywilejowanych i wymuszać MFA.
  • Aktywować funkcje anti-tamper, w tym tamper protection w Microsoft Defender.
  • Monitorować zdarzenia poeksploatacyjne, takie jak dumping poświadczeń, nietypowe użycie RMM, Rclone czy zmiany w rejestrze związane z Defenderem.
  • Automatyzować reakcję SOC, zwłaszcza izolację hosta, blokadę kont i zamrażanie sesji administracyjnych.
  • Regularnie prowadzić ćwiczenia tabletop obejmujące scenariusz kompromitacji i szyfrowania w ciągu 24 godzin.
  • Utrzymywać odporne kopie zapasowe odseparowane logicznie lub fizycznie od środowiska produkcyjnego.

Podsumowanie

Storm-1175 pokazuje, że współczesne operacje ransomware są prowadzone jak dobrze zoptymalizowane procesy biznesowe: szybko, metodycznie i z naciskiem na maksymalizację skutku w minimalnym czasie. W kampaniach związanych z Medusa kluczowe znaczenie mają znane podatności w systemach brzegowych, szybka kradzież poświadczeń, obchodzenie zabezpieczeń oraz eksfiltracja danych przed szyfrowaniem.

Dla obrońców najważniejszy wniosek jest jednoznaczny: przy krytycznych podatnościach czas reakcji należy mierzyć w godzinach, a nie w dniach. Organizacje, które nie mają priorytetowego patchingu, segmentacji usług publicznych, ochrony kont uprzywilejowanych i mechanizmów anti-tamper, pozostają szczególnie narażone na tego rodzaju kampanie.

Źródła

  1. Dark Reading – Storm-1175 Deploys Medusa Ransomware at 'High Velocity’ – https://www.darkreading.com/threat-intelligence/storm-1175-medusa-ransomware-high-velocity
  2. Microsoft Learn – Protect security settings with tamper protection – https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection
  3. NIST NVD – CVE-2024-27198 – https://nvd.nist.gov/vuln/detail/CVE-2024-27198