Em 6 de abril de 2026, a Microsoft Threat Intelligence publicou um relatório que redefine o nível de ameaça representado pelo ransomware Medusa. A investigação revela que o grupo rastreado como Storm-1175, um ator de ameaças financeiramente motivado e baseado na China, está a explorar vulnerabilidades zero-day e N-day em ataques de altíssima velocidade, conseguindo mover-se do acesso inicial à exfiltração de dados e implantação do ransomware Medusa em menos de 24 horas. Nós, da Dolutech, analisamos em profundidade este relatório e trazemos uma cobertura completa para a comunidade de cibersegurança.
A revelação é alarmante por vários motivos. Primeiro, porque demonstra que um grupo de ransomware está a utilizar exploits zero-day, ou seja, vulnerabilidades desconhecidas e sem patch disponível, algo que historicamente era reservado a operações de espionagem estatal (APTs). Segundo, porque a velocidade operacional do Storm-1175 torna praticamente impossível uma resposta reativa: quando as equipes de segurança percebem a intrusão, os dados já foram exfiltrados e o ransomware já está implantado. Terceiro, porque os setores mais atingidos são exatamente os mais críticos para a sociedade: saúde, educação, serviços financeiros e infraestrutura profissional.
Quem é o Storm-1175
O Storm-1175 é um grupo cibercriminoso baseado na China, rastreado pela Microsoft Threat Intelligence como um afiliado primário do ransomware Medusa. Ao contrário de muitos afiliados de Ransomware-as-a-Service (RaaS) que dependem de técnicas simples como phishing ou credenciais compradas, o Storm-1175 distingue-se pela sua capacidade técnica avançada e pelo seu ritmo operacional extremamente elevado.
O grupo opera sob o modelo de dupla extorsão: não se limita a criptografar os dados da vítima, mas exfiltra-os primeiro e ameaça publicá-los num site de vazamento dedicado caso o resgate não seja pago. O que torna o Storm-1175 particularmente perigoso é a janela temporal em que consegue completar todo esse ciclo, desde a exploração inicial de uma vulnerabilidade até à implantação do ransomware e nota de resgate, frequentemente dentro de 24 a 72 horas, e em alguns casos em menos de um dia.
As vítimas recentes incluem organizações nos setores de saúde, educação, serviços profissionais e finanças, concentradas principalmente nos Estados Unidos, Reino Unido e Austrália. Entre os alvos de grande visibilidade estão o University of Mississippi Medical Center (UMMC), o maior hospital do Mississippi, que precisou da ajuda do FBI e do Departamento de Segurança Interna para retomar operações normais, e o Condado de Passaic, em New Jersey, cuja infraestrutura governamental foi severamente impactada.
É importante notar que, embora o Storm-1175 seja baseado na China e motivado financeiramente, o ransomware Medusa em si tem ligações operacionais à Rússia, evidenciadas pelo evitamento de alvos em países da Comunidade de Estados Independentes (CEI), pela atividade em fóruns de língua russa e pelo uso de caracteres cirílicos em ferramentas operacionais. Adicionalmente, a Symantec relatou recentemente que membros do Lazarus, o notório grupo de hacking norte-coreano, também foram observados a implantar o ransomware Medusa, demonstrando que este RaaS atrai afiliados de múltiplas origens geográficas e com diferentes níveis de sofisticação.
A Exploração de Zero-Days: O Salto Qualitativo
O aspecto mais preocupante do relatório da Microsoft é a confirmação de que o Storm-1175 explora vulnerabilidades zero-day, falhas ainda desconhecidas dos fabricantes e sem patches disponíveis. Em alguns casos documentados, o grupo utilizou exploits uma semana completa antes da divulgação pública da vulnerabilidade.
Dois zero-days foram especificamente destacados pela Microsoft. O primeiro é o CVE-2026-23760, um bypass de autenticação no SmarterTools SmarterMail, o popular servidor de e-mail e ferramenta de colaboração. Esta vulnerabilidade permitia a atacantes autenticados escalar privilégios e tomar controle de contas administrativas. O Storm-1175 explorou esta falha antes que qualquer patch estivesse disponível, o que significa que todas as instalações do SmarterMail estavam vulneráveis durante a janela de ataque.
O segundo é o CVE-2025-10035, uma vulnerabilidade de severidade máxima no GoAnywhere MFT (Managed File Transfer) da Fortra. O Storm-1175 explorou esta falha em campanhas de ransomware Medusa por mais de uma semana antes de ela ser corrigida. É significativo que o GoAnywhere MFT já havia sido alvo de ataques de ransomware anteriores, notavelmente pelo grupo Cl0p em 2023, o que sugere que a experiência acumulada no ecossistema criminal facilita a identificação e exploração de falhas recorrentes nestes produtos.
A Microsoft observou que, embora estes exploits zero-day demonstrem uma capacidade técnica evoluída ou novo acesso a recursos como brokers de exploits, é importante notar que o Storm-1175 ainda depende principalmente de vulnerabilidades N-day, ou seja, falhas já divulgadas mas ainda não corrigidas pelas organizações. A combinação de ambas as estratégias é o que torna o grupo tão eficaz.
Arsenal de Mais de 16 Vulnerabilidades em 10 Produtos
Desde 2023, a Microsoft documentou a exploração pelo Storm-1175 de mais de 16 vulnerabilidades em 10 produtos de software diferentes. Este portfólio extenso revela um grupo que mantém vigilância constante sobre divulgações de segurança e que é capaz de adaptar rapidamente os seus ataques para explorar novas falhas.
As vulnerabilidades exploradas abrangem uma diversidade impressionante de plataformas: Microsoft Exchange (CVE-2023-21529), PaperCut (CVE-2023-27350 e CVE-2023-27351), Ivanti Connect Secure e Policy Secure (CVE-2023-46805 e CVE-2024-21887), ConnectWise ScreenConnect (CVE-2024-1708 e CVE-2024-1709), JetBrains TeamCity (CVE-2024-27198 e CVE-2024-27199), SimpleHelp (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728), CrushFTP (CVE-2025-31161), GoAnywhere MFT (CVE-2025-10035), SmarterMail (CVE-2025-52691 e CVE-2026-23760) e BeyondTrust (CVE-2026-1731).
Observando esta lista, nós da Dolutech identificamos um padrão claro: o Storm-1175 concentra-se em ativos expostos na internet, incluindo servidores de e-mail, plataformas de transferência de ficheiros, ferramentas de acesso remoto e serviços de helpdesk. Estes são exatamente os componentes que tipicamente ficam no perímetro da rede e que, por necessidade operacional, precisam de estar acessíveis externamente. É uma estratégia deliberada que maximiza a superfície de ataque disponível.
Anatomia do Ataque: Da Intrusão ao Resgate em 24 Horas
A cadeia de ataque do Storm-1175 é meticulosamente otimizada para velocidade. Cada fase é executada com precisão cirúrgica, utilizando uma combinação de ferramentas legítimas e técnicas living-off-the-land que dificultam a detecção.
Acesso Inicial
O ataque começa invariavelmente com a exploração de uma vulnerabilidade em um ativo exposto na internet. O Storm-1175 monitora ativamente a divulgação de novas vulnerabilidades e move-se para explorá-las durante a janela crítica entre a divulgação pública e a adoção generalizada dos patches. Em casos de zero-day, esta janela nem sequer existe, pois o ataque acontece antes de qualquer conhecimento público da falha.
Persistência e Movimento Lateral
Imediatamente após o acesso inicial, o grupo cria novas contas de utilizador para garantir persistência, mesmo que a vulnerabilidade original seja corrigida. Implementam web shells nos servidores comprometidos e instalam ferramentas legítimas de monitoramento e gestão remota (RMM) como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect e SimpleHelp. A utilização destas ferramentas legítimas é uma tática intencional: o tráfego de RMM é encriptado e tipicamente confiável nos ambientes corporativos, o que permite ao Storm-1175 misturar a sua atividade maliciosa com tráfego legítimo e reduzir drasticamente a probabilidade de detecção.
O movimento lateral é realizado através de PowerShell, PsExec, Impacket, modificações de políticas do Windows Firewall para habilitar RDP, e túneis Cloudflare. O PDQ Deployer, uma ferramenta legítima de gestão de software, é utilizado tanto para movimento lateral quanto para a distribuição final do payload do ransomware.
Roubo de Credenciais
O Storm-1175 emprega Impacket e Mimikatz para dump de credenciais, visando especificamente o processo LSASS (Local Security Authority Subsystem Service) e habilitando o caching WDigest para capturar passwords em texto claro. Após obter acesso administrativo, o grupo extrai credenciais de backups e pivota para os controladores de domínio, onde obtém acesso ao Active Directory e a dados de todo o sistema.
Evasão de Defesas
Antes de implantar o ransomware, o Storm-1175 modifica sistematicamente as configurações do Microsoft Defender Antivirus, adicionando exclusões nos registros do Windows para impedir que o antivírus bloqueie o payload do ransomware. A Microsoft destacou especificamente que esta ação requer acesso a contas altamente privilegiadas capazes de modificar o registro, reforçando a importância crítica de priorizar alertas relacionados a roubo de credenciais como indicadores precoces de um ataque ativo.
Exfiltração de Dados
A exfiltração é conduzida usando Rclone, uma ferramenta profissional de sincronização de dados que permite transferência contínua durante todas as fases do ataque sem necessidade de interação do atacante. Ficheiros são comprimidos usando Bandizip antes da transferência. A Microsoft observou que esta exfiltração contínua é uma das características que permite ao Storm-1175 operar tão rapidamente, pois os dados estão a ser roubados desde o momento do acesso inicial, em paralelo com todas as outras atividades.
Implantação do Ransomware
A fase final utiliza PDQ Deployer para lançar um script chamado “RunFileCopy.cmd” que distribui o payload do Medusa ransomware pela rede. Em casos mais sofisticados, o Storm-1175 utiliza privilégios administrativos comprometidos para criar uma atualização de Group Policy que implanta o ransomware em todas as máquinas do domínio simultaneamente. O resultado é devastador: criptografia simultânea em toda a infraestrutura, acompanhada pela nota de resgate e a ameaça de publicação dos dados exfiltrados.
O Ecossistema Medusa: Mais do Que Um Grupo
O ransomware Medusa surgiu em 2021 e evoluiu para uma das operações RaaS mais prolíficas do cenário atual. Em março de 2025, a CISA, o FBI e o MS-ISAC emitiram um comunicado conjunto alertando que as operações do Medusa já haviam impactado mais de 300 organizações de infraestrutura crítica nos Estados Unidos.
O ecossistema que rodeia o Medusa é vasto e multifacetado. Além do Storm-1175, a Microsoft já associou o grupo a outros três coletivos cibercriminosos envolvidos em ataques de ransomware Black Basta e Akira que exploram vulnerabilidades no VMware ESXi. A recente revelação pela Symantec de que o grupo norte-coreano Lazarus também utiliza o Medusa adiciona uma dimensão geopolítica preocupante: um RaaS que serve simultaneamente atores motivados financeiramente (China), operações de cibercrime organizado (Rússia) e programas estatais de geração de receita (Coreia do Norte).
Para nós, da Dolutech, esta convergência de atores em torno de uma única plataforma de ransomware representa uma das tendências mais perigosas do cenário de ameaças atual. Significa que defender-se contra o Medusa requer preparação para TTPs (Técnicas, Táticas e Procedimentos) que variam drasticamente conforme o afiliado, desde phishing simples até zero-days sofisticados.
O Papel dos Brokers de Exploits
Uma questão que o relatório da Microsoft levanta mas não responde completamente é: de onde vêm os exploits zero-day utilizados pelo Storm-1175? A Microsoft sugere duas possibilidades, sendo a primeira uma capacidade de desenvolvimento interna evoluída e a segunda o acesso a brokers de exploits. A segunda hipótese é particularmente preocupante porque implica a existência de um mercado negro ativo em que exploits zero-day de alto valor estão disponíveis para compra por grupos criminosos.
Este mercado opera nas profundezas de fóruns underground como XSS e plataformas privadas acessíveis apenas por convite, além de canais de Telegram especializados em que vendedores oferecem exploits com preços que podem variar de dezenas de milhares a milhões de dólares, dependendo do alvo e da severidade. A existência deste ecossistema significa que a barreira para ataques zero-day está a diminuir: já não é necessário ter capacidade de pesquisa de vulnerabilidades interna, basta ter o capital para comprar no mercado.
Mitigações e Recomendações Técnicas
Com base no relatório da Microsoft e na nossa análise complementar, a Dolutech recomenda as seguintes medidas de proteção prioritárias.
A medida mais crítica é a redução radical do tempo de patching para ativos expostos na internet. O Storm-1175 explora a janela entre divulgação e patch como estratégia central. Servidores de e-mail, plataformas de transferência de ficheiros, ferramentas de acesso remoto e quaisquer serviços web-facing devem ter patches aplicados em horas, não em dias ou semanas. A implementação de processos de patching de emergência para vulnerabilidades críticas em ativos de perímetro não é opcional, é sobrevivência.
A Microsoft recomendou especificamente a combinação de Tamper Protection com a configuração Disable LocalAdminMerge no Microsoft Defender. Esta combinação impede que atacantes utilizem privilégios de administrador local para criar exclusões no antivírus, bloqueando diretamente uma das técnicas centrais do Storm-1175. Esta configuração deve ser implementada em todas as estações e servidores da organização.
A monitorização de ferramentas de sincronização de dados como Rclone e utilitários de compressão como Bandizip é essencial. O uso não autorizado destas ferramentas num ambiente corporativo é um indicador forte de exfiltração ativa. Regras de detecção específicas devem ser criadas nos SIEMs e EDRs para alertar sobre a presença ou execução destes binários.
A monitorização de ferramentas RMM é igualmente crucial. Se a organização utiliza uma ferramenta RMM específica, todas as outras devem ser bloqueadas. A presença de AnyDesk, Atera, MeshAgent ou SimpleHelp em ambientes onde não são oficialmente utilizadas é um indicador de comprometimento de alta confiança.
A priorização de alertas relacionados a roubo de credenciais, especialmente acesso ao LSASS, uso de Mimikatz e alterações no WDigest, é fundamental. Como a Microsoft destacou, estes indicadores tipicamente precedem a implantação do ransomware e representam a última janela de oportunidade para interromper o ataque.
Finalmente, recomendamos a implementação de segmentação de rede rigorosa que limite o movimento lateral, a revisão regular de contas administrativas para identificar contas recém-criadas não autorizadas, e o monitoramento de alterações no Group Policy que possam indicar preparação para implantação massiva de ransomware.
Vulnerabilidades Exploradas pelo Storm-1175
| CVE | Produto | Tipo |
|---|---|---|
| CVE-2023-21529 | Microsoft Exchange | N-day |
| CVE-2023-27350 / CVE-2023-27351 | PaperCut | N-day |
| CVE-2023-46805 / CVE-2024-21887 | Ivanti Connect Secure / Policy Secure | N-day |
| CVE-2024-1708 / CVE-2024-1709 | ConnectWise ScreenConnect | N-day |
| CVE-2024-27198 / CVE-2024-27199 | JetBrains TeamCity | N-day |
| CVE-2024-57726 / CVE-2024-57727 / CVE-2024-57728 | SimpleHelp | N-day |
| CVE-2025-31161 | CrushFTP | N-day |
| CVE-2025-10035 | GoAnywhere MFT | Zero-day |
| CVE-2025-52691 | SmarterMail | N-day |
| CVE-2026-23760 | SmarterMail | Zero-day |
| CVE-2026-1731 | BeyondTrust | N-day |
Ferramentas e Binários Utilizados
| Ferramenta | Uso pelo Storm-1175 |
|---|---|
| Impacket | Movimento lateral e dump de credenciais |
| Mimikatz | Roubo de credenciais (LSASS) |
| Rclone | Exfiltração contínua de dados |
| Bandizip | Compressão de dados para exfiltração |
| PDQ Deployer | Distribuição do ransomware pela rede |
| RunFileCopy.cmd | Script de distribuição do payload |
| PowerShell / PsExec | Movimento lateral (LOLBins) |
| AnyDesk / Atera / MeshAgent | Acesso remoto persistente |
| ConnectWise ScreenConnect / SimpleHelp | Acesso remoto persistente |
| Cloudflare Tunnels | Tunelamento de tráfego C2 |
Indicadores de Host
| Indicador | Descrição |
|---|---|
| Novas contas de utilizador não autorizadas | Persistência |
| Web shells em servidores web-facing | Persistência |
| Exclusões adicionadas ao Microsoft Defender via registro | Evasão de defesas |
| WDigest caching habilitado | Preparação para roubo de credenciais |
| Tarefas agendadas ou alterações no Group Policy não autorizadas | Distribuição de ransomware |
Linha Temporal da Ameaça
Meados de 2023: Primeiras observações da atividade do Storm-1175, com foco em modelos RaaS do Medusa e exploração de vulnerabilidades N-day em Microsoft Exchange e PaperCut.
Final de 2023: O grupo expande o seu arsenal para incluir exploits para Ivanti Connect Secure e ConnectWise ScreenConnect. Começam a surgir indicações de capacidades avançadas em canais especializados de cibercrime.
2024: Exploração de falhas em JetBrains TeamCity, SimpleHelp e VMware ESXi. A Microsoft associa o Storm-1175 a ataques de ransomware Black Basta e Akira, além do Medusa. O grupo começa a visar sistemas Linux, incluindo instâncias Oracle WebLogic.
Outubro de 2025: Microsoft reporta que o Storm-1175 explorou o CVE-2025-10035 (GoAnywhere MFT) em ataques de ransomware Medusa por mais de uma semana antes da correção.
Janeiro de 2026: Exploração do CVE-2026-23760 (SmarterMail) como zero-day antes da divulgação pública.
Março de 2025: CISA, FBI e MS-ISAC emitem comunicado conjunto alertando que o Medusa impactou mais de 300 organizações de infraestrutura crítica nos EUA.
6 de abril de 2026: Microsoft publica relatório completo associando oficialmente o Storm-1175 à exploração de zero-days em operações de ransomware Medusa de alta velocidade.
Reflexão: A Convergência Perigosa Entre Cibercrime e Capacidades Estatais
Nós, da Dolutech, temos acompanhado a evolução do ecossistema de ransomware desde os seus primórdios, e o caso do Storm-1175 representa um ponto de inflexão que merece reflexão séria. Durante anos, a utilização de exploits zero-day foi considerada o domínio exclusivo de agências de inteligência estatais e de grupos APT com orçamentos milionários. O facto de um afiliado de ransomware estar agora a demonstrar esta capacidade sinaliza uma democratização perigosa do arsenal cibernético ofensivo.
A velocidade operacional do Storm-1175, capaz de ir do acesso inicial ao resgate em apenas 24 horas, combinada com zero-days e alvos no setor de saúde e infraestrutura crítica, levanta questões fundamentais sobre a resiliência das nossas defesas coletivas. Quando um hospital pode ser completamente criptografado em menos de um dia, as consequências não são apenas financeiras, são humanas. Pacientes ficam sem acesso a registros médicos, equipamentos conectados são desativados, e vidas são colocadas em risco.
A convergência de atores chineses, russos e norte-coreanos em torno do Medusa RaaS é igualmente perturbadora, sugerindo que as fronteiras entre cibercrime e operações estatais estão cada vez mais difusas. Para as organizações, isto significa que a preparação para ransomware já não pode ser baseada em perfis de ameaça simplificados. É necessário planear para adversários com capacidades de nível estatal operando com motivações criminais.
A Dolutech continuará a monitorizar a atividade do Storm-1175 e do ecossistema Medusa. Atualizações serão publicadas à medida que novas informações forem disponibilizadas.
Referências:
Microsoft Threat Intelligence, “Storm-1175 focuses gaze on vulnerable web-facing assets in high-tempo Medusa ransomware operations”: https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/
BleepingComputer, “Microsoft links Medusa ransomware affiliate to zero-day attacks”: https://www.bleepingcomputer.com/news/security/microsoft-links-medusa-ransomware-affiliate-to-zero-day-attacks/
The Record, “Medusa ransomware group using zero-days to launch attacks within hours”: https://therecord.media/medusa-ransomware-group-zero-days-microsoft
The Hacker News, “China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware”: https://thehackernews.com/2026/04/china-linked-storm-1175-exploits-zero.html
Security Affairs, “Fast-moving Storm-1175 uses new exploits to breach networks and drop Medusa”: https://securityaffairs.com/190440/cyber-crime/fast-moving-storm-1175-uses-new-exploits-to-breach-networks-and-drop-medusa.html
SecurityOnline, “Storm-1175 Weaponizes Zero-Days for High-Velocity Ransomware”: https://securityonline.info/storm-1175-medusa-ransomware-high-velocity-attacks/
CISA Advisory AA25-071A, Medusa Ransomware: https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-071a
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
