A Microsoft identificou um grupo de cibercriminosos, denominado Storm-1175, como responsável pela exploração de uma vulnerabilidade crítica no software Fortra GoAnywhere, que permitiu a implantação do ransomware Medusa. A falha, classificada como CVE-2025-10035, possui um escore CVSS de 10.0 e é um bug de desserialização que pode resultar em injeção de comandos sem necessidade de autenticação. A vulnerabilidade foi corrigida nas versões 7.8.4 e 7.6.3 do software. Desde 11 de setembro de 2025, o grupo tem explorado aplicações expostas ao público para obter acesso inicial, com indícios de exploração ativa desde pelo menos 10 de setembro. A exploração bem-sucedida dessa vulnerabilidade pode permitir que os atacantes realizem descobertas de sistema e usuário, mantenham acesso a longo prazo e implantem ferramentas adicionais para movimentação lateral e malware. A cadeia de ataque inclui a instalação de ferramentas de monitoramento remoto, como SimpleHelp e MeshAgent, e a criação de arquivos .jsp nos diretórios do GoAnywhere MFT. A Microsoft também observou o uso de Rclone para exfiltração de dados em pelo menos um ambiente afetado. A situação levanta preocupações sobre a transparência da Fortra em relação à segurança de seus produtos.
Fonte: https://thehackernews.com/2025/10/microsoft-links-storm-1175-to.html
🚨BR DEFENSE CENTER: SECURITY BRIEFING
07/10/2025 • Risco: CRITICO
RANSOMWARE
Microsoft atribui ataque de ransomware Medusa a falha crítica no GoAnywhere
RESUMO EXECUTIVO
A exploração da vulnerabilidade CVE-2025-10035 no software GoAnywhere da Fortra representa um risco crítico para organizações que utilizam essa tecnologia. O grupo Storm-1175 tem explorado ativamente essa falha, resultando na implantação do ransomware Medusa e na exfiltração de dados. A falta de transparência da Fortra sobre como a vulnerabilidade foi explorada e a necessidade de ações corretivas imediatas são preocupações centrais para os CISOs.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a interrupções e custos de recuperação.
Operacional
Implantação do ransomware Medusa e exfiltração de dados.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
CVSS score: 10.0
Indicador
Exploração ativa desde 10 de setembro de 2025
Contexto BR
Grupo Storm-1175 ativo desde 11 de setembro de 2025
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o software GoAnywhere MFT está na versão corrigida (7.8.4 ou 7.6.3).
2
Aplicar patches de segurança e monitorar atividades suspeitas na rede.
3
Monitorar continuamente o tráfego de rede e logs de acesso para detectar atividades não autorizadas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de aplicações críticas e a proteção de dados sensíveis, especialmente em relação à conformidade com a LGPD.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
