Investigaciones recientes revelan que el grupo Storm-1175, vinculado al ransomware Medusa, está aprovechando vulnerabilidades incluso antes de su divulgación pública, logrando comprometer sistemas expuestos a internet y desplegar ataques completos en cuestión de horas.
Un informe de inteligencia de amenazas publicado por Microsoft esta semana advierte sobre la actividad del grupo Storm-1175, un actor cibercriminal que ha perfeccionado ataques de alta velocidad utilizando vulnerabilidades críticas -incluyendo fallas de día cero- para desplegar ransomware Medusa en plazos extremadamente reducidos.
Según los hallazgos, Storm-1175 se especializa en explotar sistemas expuestos a internet, como aplicaciones web y servicios perimetrales, aprovechando el periodo entre la divulgación de una vulnerabilidad y su corrección efectiva. “El ritmo de las campañas está impulsado por el uso constante de vulnerabilidades recientemente reveladas”, señala Microsoft, destacando que incluso han observado el uso de exploits antes de que las fallas sean divulgadas públicamente.
A diferencia de campañas tradicionales, donde los atacantes permanecen semanas dentro de una red antes de ejecutar el ataque final, Storm-1175 puede completar todo el ciclo, desde el acceso inicial hasta el cifrado de sistemas, en menos de 24 horas en algunos casos.
El modelo operativo del grupo se basa en la automatización y en una rápida explotación de vulnerabilidades tanto conocidas (N-day) como desconocidas (zero-day). Desde 2023, se ha vinculado a la explotación de más de 16 fallas en tecnologías ampliamente utilizadas, incluyendo plataformas empresariales y herramientas de transferencia de archivos como en Microsoft Exchange, Papercut, Ivanti Connect Secure y Policy Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, SAP NetWeaver, CrushFTP, GoAnywhere MFT, SmarterMail y BeyondTrust.
Una vez dentro del sistema, los atacantes despliegan una cadena de ataque altamente estructurada, donde establecen persistencia mediante web shells o cuentas administrativas, se mueven lateralmente utilizando herramientas legítimas, roban credenciales y desactivan controles de seguridad antes de ejecutar el ransomware.
“El actor puede pasar del acceso inicial a la implementación del ransomware en tan solo un día”, advierte Microsoft, subrayando la dificultad que enfrentan los equipos de seguridad para detectar y contener este tipo de intrusiones en tiempo real.
Los sectores más afectados incluyen salud, educación, servicios profesionales y finanzas, con incidentes reportados en países como Estados Unidos, Reino Unido y Australia. Esto sugiere una estrategia orientada a maximizar el impacto operativo y financiero de los ataques.
Además, el uso de vulnerabilidades de día cero -como fallas en plataformas de transferencia de archivos y servidores de correo- evidencia un acceso a recursos avanzados o mercados de exploits, lo que eleva el nivel de sofisticación del grupo y reduce las posibilidades de defensa preventiva.