Fortra, producent szeroko stosowanych GO za każdym razem narzędzie zarządzane transfer plików (MFT), ma jeszcze raz Znaleziono się w centrum zbierającej się burzy po tym, jak Microsoft ostrzegł, że śledzi masową eksploatację niedawno załatanej podatności przez partnera ransomware.
CVE-2025-10035 jest krytyczną wadą deserializacji – nosząca wynik CVSS 10,0 – w serwlecie licencyjnym Goanywhere MFT. Pozostawiony bez wstępu, umożliwia aktorowi zagrożenia, który uzyskał uzasadnioną podpis reagowania licencyjnego, aby deserializować arbitralny, kontrolowany przez aktora obiekt.
Wczesne raporty sugerują, że atakujący nie musi uwierzytelniać, jeśli może stworzyć lub przechwycić ważną reakcję licencyjną, dzięki czemu wystąpienia instancji Internetu GOELMETELE. Ostatecznie wykorzystanie może prowadzić do iniekcji poleceń i zdalnego wykonywania kodu.
Fortra wydała własną poradę i łatkę18 września, ale teraz, prawie trzy tygodnie później, Microsoft powiedział, że zaobserwował cyberprzestępcy aktora, którego identyfikuje jako Storm-1175-znany z użycia Medusa Ransomware-wykorzystującego wadę Fortra.
„Naukowcy z Microsoft Defender zidentyfikowali działalność eksploatacyjną w wielu organizacjach zgodnych z taktykami, technikami i procedurami przypisanymi Storm-1175”, ” Zespół Microsoft powiedział. „Powiązana aktywność zaobserwowano 11 września 2025 r.”
Microsoft powiedział, że zidentyfikował wieloetapowy łańcuch ataku, w którym oryginalny zero-day został wykorzystany w sposób już szczegółowy, po czym gang nadużył narzędzi SimpleHelp i Meshagent zdalnego monitorowania i zarządzania (RMM) w celu utrzymania trwałości.
Storm-1175 następnie przeprowadził polecenia odkrywania użytkowników i systemu i wdrożone narzędzia, takie jak Netscan do odkrywania sieci, zanim użył MSTSC.EXE do przeprowadzenia ruchu bocznego. Dowództwo i kontrola jest osiągana za pomocą narzędzi RMM, a gang użył nawet tunelu Cloudflare do bezpiecznej komunikacji. Zastosowanie RCLONE zaobserwowano w co najmniej jednym wystąpieniu exfiltracji danych, a następnie wdrażanie oprogramowania ransomware MEDUSA.
KnowBe4 główny dyrektor ds. Bezpieczeństwa informacji Javvad Malik powiedział, że CVE-2025-10035 uzasadniał natychmiastową uwagę. „Gdy zarządzana brama transferu plików otrzymuje krytyczną ocenę CVSS 10, należy ją traktować jako natychmiastowe ryzyko operacyjne”, powiedział.
„Każda podatność narażona na Internet może umożliwić nieautoryzowany dostęp i szybki postęp w ransomware. Chociaż zwykła porada terminowego łatania jest ważna i pozostaje prawdziwa, ważne jest, aby rozważyć wyzwania operacyjne, które wiele organizacji ma, a także architekt dla odporności.
„Ważne jest również, aby organizacje dostosowały reakcje techniczne do ciągłości biznesowej”, powiedział Malik. „Obejmuje to wstępnie zatwierdzone decyzje dotyczące usunięcia, briefingów interesariuszy i powiadomienia klientów powinny być gotowe, abyś mógł działać zdecydowanie”.
Chociaż tak naprawdę nigdy nie osiągnęło rozgłosu Conti lub Lockbit, Medusa jest długoletnim elementem „sceny” ransomware, po raz pierwszy pojawił się w latach pandemii Covid-19 Wiele celów w amerykańskim przemyśle opieki zdrowotnej w 2021 rokuprzy użyciu przynęt o tematyce koronawirusa.
Początkowo zamknięta operacja ransomware, Medusa później obrotu do modelu ransomware-as-a-servicea od 2023 r. Był w stanie wykorzystać zakłócenia innych gangów, w tym Lockbit. W szczególności oferuje „hojną” strukturę prowizji, a podmioty stowarzyszone otrzymują od 70% do 90% ujęcia.
Ci nowe podmioty stowarzyszone Różnie ataków Medusa na początku 2025 r.z Wielką Brytanią nieproporcjonalnie dotkniętą – Dane z punktu sprawdzania ujawniają To stanowiło 9% zaobserwowanych brytyjskich ofiar w pierwszym kwartale 2025 r., W porównaniu z 2% w pozostałej części świata.