Microsoft je razkril nove podrobnosti o delovanju nevarne kibernetske kriminalne skupine Storm-1175, ki ima sedež na Kitajskem in je znana po razširjanju izsiljevalske programske opreme Medusa. Skupina se odlikuje po izjemno hitrih napadih, pri katerih aktivno izkorišča tako n-day kot zero-day ranljivosti.
Storm-1175 deluje kot affiliate partner v ekosistemu Medusa ransomwarea, kar pomeni, da uporablja obstoječo infrastrukturo izsiljevalske programske opreme v zameno za delitev dobička. Microsoft je skupino označil kot finančno motivirano entiteto, ki svoje operacije izvaja z izjemno hitrostjo in učinkovitostjo.
Posebej zaskrbljujoč je podatek, da napadalci ne uporabljajo zgolj že znanih ranljivosti (n-day), temveč aktivno izkoriščajo tudi zero-day exploite – ranljivosti, za katere še ne obstajajo popravki. Ta pristop jim omogoča vdor v sisteme, preden lahko organizacije implementirajo ustrezne varnostne ukrepe.
Medusa ransomware se je v zadnjih mesecih uveljavil kot ena izmed bolj agresivnih variant izsiljevalske programske opreme. Skupina uporablja klasični model dvojnega izsiljevanja, kjer ne samo šifrirajo podatkov, ampak tudi grozijo z njihovo objavo na dark web portalih, če žrtve ne plačajo odkupnine.
Microsoft svetuje organizacijam, da nemudoma implementirajo večplastno varnostno strategijo. Ključnega pomena je redna posodobitev vseh sistemov, implementacija načela najmanjših privilegijev, segmentacija omrežij in uporaba naprednih orodij za zaznavanje anomalij v omrežnem prometu.
Podjetja bi morala posebno pozornost nameniti spremljanju neobičajnih aktivnosti v svojih omrežjih, saj Storm-1175 pogosto uporablja legitime administrativne orodja za lateralno premikanje po omrežju. Vzpostavitev robustnega sistema za backup in načrta za okrevanje po incidentu sta prav tako kritična elementa obrambe pred tovrstnimi napadi.
Povezava skupine Storm-1175 s Kitajsko odpira tudi vprašanja o možni geopolitični dimenziji teh napadov, čeprav Microsoft poudarja predvsem finančno motivacijo operacij.
Vir: https://www.bleepingcomputer.com/news/security/microsoft-links-medusa-ransomware-affiliate-to-zero-day-attacks/
Originalna objava: 2026-04-06
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.