.png)
há 3 dias
4
ANUNCIE AQUI
A Microsoft confirmou que um grupo de cibercriminosos identificado como Storm-1175 vem explorando ativamente uma vulnerabilidade crítica no GoAnywhere MFT, aproveitada em ataques com ransomware Medusa. O problema, rastreado como CVE-2025-10035, ocorre devido a uma falha de deserialização de dados não confiáveis no License Servlet e permite execução remota de código sem interação do usuário. A falha possui CVSS 3.1 de 10,0, indicando risco máximo.
Leia também
Cibercriminosos ameaçam clientes da Oracle por email
Quadrilha enriquece com deepfakes de famosos em golpe ‘pague só o frete’
A exploração começou em setembro de 2025, pouco antes da correção liberada pela Fortra em 18 de setembro. Pesquisadores relataram que a vulnerabilidade estava sendo utilizada como zero-day desde 10 de setembro, e a Microsoft confirmou que Storm-1175 usou o bug para acesso inicial, mantendo persistência com ferramentas de gerenciamento remoto como SimpleHelp e MeshAgent.
Durante os ataques, os invasores realizam reconhecimento de rede, descoberta de usuários e sistemas, movimentação lateral via Microsoft Remote Desktop, exfiltração de arquivos com Rclone e, por fim, implantam o ransomware Medusa. O grupo já foi vinculado a ataques contra mais de 300 organizações de infraestrutura crítica nos Estados Unidos e à exploração de outras vulnerabilidades em VMware ESXi, com implantação de ransomwares Akira e Black Basta.
Para se proteger, a Microsoft e a Fortra recomendam atualizar imediatamente o GoAnywhere MFT para a versão mais recente. Além disso, os administradores devem inspecionar logs em busca de erros de stack trace com o termo SignedObject.getObject para identificar possíveis comprometimentos.
Portuguese (BR) ·