Código HTML do Conteúdo
Post: Microsoft: bug crítico do GoAnywhere explorado em ataques de ransomware
<div>
<div>
<p>Um grupo de crimes cibernéticos, rastreado como Storm-1175, tem explorado ativamente uma vulnerabilidade GoAnywhere MFT de gravidade máxima em ataques de ransomware Medusa por quase um mês.</p>
<p>Rastreado como <a href="https://nvd.nist.gov/vuln/detail/CVE-2025-10035" rel="nofollow noopener" target="_blank">CVE-2025-10035</a>, essa falha de segurança afeta a ferramenta GoAnywhere MFT de transferência segura baseada na web da Fortra, causada por um <a href="https://cwe.mitre.org/data/definitions/502.html" rel="nofollow noopener" target="_blank">Desserialização de pontos fracos de dados não confiáveis</a> no Servlet de Licença. Essa vulnerabilidade pode ser explorada remotamente em ataques de baixa complexidade que não exigem interação do usuário.</p>
<p>Analistas de segurança da Shadowserver Foundation agora estão monitorando <a href="https://dashboard.shadowserver.org/statistics/iot-devices/time-series/?date_range=7&vendor=fortra&type=file-transfer&model=goanywhere+mft&dataset=count&limit=1000&group_by=geo&stacking=stacked&auto_update=on" rel="nofollow noopener" target="_blank">mais de 500 instâncias do GoAnywhere MFT</a> exposto online, embora não esteja claro quantos já foram corrigidos.</p>
<p>Enquanto Fortra <a href="https://www.bleepingcomputer.com/news/security/fortra-warns-of-max-severity-flaw-in-goanywhere-mfts-license-servlet/" rel="nofollow noopener" target="_blank">corrigiu a vulnerabilidade</a> em 18 de setembro sem mencionar a exploração ativa, pesquisadores de segurança do WatchTowr Labs <a href="https://www.bleepingcomputer.com/news/security/maximum-severity-goanywhere-mft-flaw-exploited-as-zero-day/" rel="nofollow noopener" target="_blank">marcado como explorado na natureza</a> uma semana depois, depois de receber “evidências confiáveis” de que o CVE-2025-10035 havia sido aproveitado como um dia zero desde 10 de setembro.</p>
<h2>Explorado em ataques ransomware Medusa</h2>
<p>Hoje, a Microsoft confirmou o relatório do WatchTowr Labs, afirmando que uma conhecida afiliada do ransomware Medusa que ela rastreia como Storm-1175 tem explorado essa vulnerabilidade em ataques desde pelo menos 11 de setembro de 2025.</p>
<p>“Os pesquisadores do Microsoft Defender identificaram atividades de exploração em várias organizações alinhadas a táticas, técnicas e procedimentos (TTPs) atribuídos ao Storm-1175”, <a href="https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/" rel="nofollow noopener" target="_blank">Microsoft ele disse</a>.</p>
<p>“Para acesso inicial, o agente da ameaça explorou a vulnerabilidade de desserialização de dia zero no GoAnywhere MFT. Para manter a persistência, eles abusaram das ferramentas de monitoramento e gerenciamento remoto (RMM), especificamente SimpleHelp e MeshAgent.</p>
<p>No próximo estágio do ataque, o afiliado do ransomware lançou os binários do RMM, utilizou o Netscan para reconhecimento de rede, executou comandos para descoberta de usuários e sistemas e moveu-se lateralmente pela rede comprometida para vários sistemas usando o cliente Microsoft Remote Desktop Connection (mtsc.exe).</p>
<p>Durante o ataque, eles também implantaram o Rclone em pelo menos o ambiente de uma vítima para exfiltrar arquivos roubados e implantaram cargas úteis de ransomware Medusa para criptografar os arquivos das vítimas.</p>
<p>Em março, a CISA emitiu um comunicado conjunto com o FBI e o Centro de Análise e Compartilhamento de Informações Multiestaduais (MS-ISAC), alertando que a operação do ransomware Medusa <a href="https://www.bleepingcomputer.com/news/security/cisa-medusa-ransomware-hit-over-300-critical-infrastructure-orgs/" rel="nofollow noopener" target="_blank">impactou mais de 300 organizações de infraestrutura crítica</a> nos Estados Unidos.</p>
<p>Juntamente com outras três gangues de crimes cibernéticos, o grupo de ameaças Storm-1175 também foi vinculado pela Microsoft em julho de 2024 a ataques <a href="https://www.bleepingcomputer.com/news/microsoft/microsoft-ransomware-gangs-exploit-vmware-esxi-auth-bypass-in-attacks/" rel="nofollow noopener" target="_blank">explorando uma vulnerabilidade de desvio de autenticação do VMware ESXi</a> que levou à implantação do ransomware Akira e Black Basta.</p>
<p>Para se defender contra ataques de ransomware Medusa direcionados a seus servidores GoAnywhere MFT, a Microsoft e a Fortra aconselharam os administradores a atualizar para as versões mais recentes. A Fortra também pediu aos clientes que inspecionassem seus arquivos de log em busca de erros de rastreamento de pilha com a string SignedObject.getObject para determinar se as instâncias foram afetadas.</p>
<div>
<p><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Picus BAS Summit" src="https://datalake.azaeo.com/wp-content/uploads/2025/10/bas-summit.jpg"><br />
</a>
</p>
<div>
<h2><a href="https://hubs.li/Q03LvVKm0" rel="noopener sponsored" target="_blank">O Evento de Validação de Segurança do Ano: O Picus BAS Summit </a></h2>
<p>Junte-se ao <strong>Cúpula de Simulação de Violação e Ataque</strong> e experimente o <strong>Futuro da validação de segurança</strong>. Ouça os principais especialistas e veja como <strong>BAS alimentado por IA</strong> está transformando a simulação de violação e ataque.</p>
<p>Não perca o evento que moldará o futuro da sua estratégia de segurança</p>
</div>
</div>
</div></div>