Microsoft culpa a los afiliados del ransomware Medusa por las vulnerabilidades de GoAnywhere, mientras Fortra permanece en silencio

Microsoft señala a afiliados del ransomware Medusa por ataques dirigidos al producto GoAnywhere de Fortra. La falla, con una calificación de 10.0 e identificada como CVE-2025-10035, permitió un acceso rápido. Varias organizaciones se vieron comprometidas ya en septiembre. El silencio del proveedor genera preocupación. Una PYME ficticia, AltoTech, sirve como hilo conductor para comprender el impacto. AltoTech utiliza GoAnywhere para intercambiar archivos entre los servicios de Windows, Azure y Office 365. Descubrió la intrusión mediante registros sospechosos y conexiones RMM. Este caso ilustra la cadena de ataque y las brechas de comunicación. Microsoft identifica a afiliados de Medusa que explotan GoAnywhere: detalles técnicos y cronología. La telemetría de Microsoft ha identificado a un grupo denominado Storm-1175. Estos afiliados, conocidos por implementar Medusa, explotaron la falla de deserialización en el componente License Servlet de GoAnywhere. Un objeto Java firmado y falsificado omitió la verificación de licencia. La vulnerabilidad permite la inyección de comandos y la ejecución remota de código. Tras la explotación, los atacantes registraron el sistema, instalaron puertas traseras y desplegaron herramientas de movimiento lateral. Microsoft observó acciones desde el 11 de septiembre. Fortra publicó el aviso oficial el 18 de septiembre, pero sin indicar ningún abuso real. AltoTech informa que el ataque resultó en procesos de GoAnywhere comprometidos y rastros de la creación de archivos .jsp. La clave: la falla es «perfecta» para los afiliados de cibercriminales que buscan acceso inicial. Perspectiva: La vulnerabilidad proporcionó acceso sostenido antes de que muchos fueran parcheados. Cadena de Explotación: De la Falla a la Exfiltración por Afiliados de Medusa. La explotación siguió una secuencia clara. Primero, se manipuló la deserialización para tomar el control del proceso de GoAnywhere. Luego, se instalaron herramientas RMM como SimpleHelp y MeshAgent. Para mantener el acceso. Los binarios de RMM se lanzaron mediante el proceso GoAnywhere. Los atacantes ejecutaron comandos de descubrimiento, iniciaron análisis de red y luego usaron mstsc.exe para moverse lateralmente. Un túnel a través de Cloudflare sirvió como canal C2 seguro, y luego Rclone copió los datos para su exfiltración. En al menos un entorno, se implementó Medusa.AltoTech encontró registros que mostraban Rclone y conexiones salientes a direcciones IP inusuales. Por ejemplo: un archivo financiero se copió a un almacenamiento externo y luego se cifró. Perspectiva: El acceso inicial a través de GoAnywhere se convirtió en una exfiltración dirigida en cuestión de horas. El video anterior ilustra los pasos técnicos observados en el laboratorio. Ayuda a identificar indicadores de vulnerabilidad en servidores Windows y Azure. El silencio de Fortra: Preguntas sin resolver y expectativas de los clientesA pesar de la explotación confirmada por Microsoft, Fortra ha guardado silencio. Los clientes exigen respuestas: ¿Cómo obtuvieron los actores las claves privadas necesarias? ¿Por qué el aviso público no mencionó los abusos reales? Expertos como Benjamin Harris han señalado que las organizaciones que utilizan GoAnywhere han estado bajo un ataque silencioso. Las empresas esperan transparencia para evaluar la exposición y priorizar los parches.

AltoTech, tras contactar a su integrador, exige ahora pruebas de la corrección e indicadores para detectar posibles nuevas vulneraciones. Perspectiva: La falta de comunicación de un proveedor amplifica el riesgo operativo y retrasa la respuesta colectiva. El segundo video ofrece pasos prácticos para aplicar el parche y reforzar el acceso a la consola de administración. Acciones inmediatas recomendadas para Windows y Azure Teams.Primera acción: Aplicar inmediatamente el parche a la versión corregida de GoAnywhere. Si no es posible aplicar parches de inmediato, bloquee el acceso externo a la consola de administración. Fortra reiteró que la explotación depende en gran medida de la exposición a internet. La segmentación de la red, la supervisión de los procesos de GoAnywhere, la detección de instalaciones de RMM y el control de las transferencias mediante Rclone son esenciales. Los registros de Windows y los flujos de Azure deben correlacionarse para identificar movimientos laterales y exfiltraciones. En entornos que integran Office 365, verifique el acceso y las cuentas relacionadas con el intercambio de archivos. AltoTech aisló las cuentas comprometidas y restauró las copias de seguridad sin conexión para limitar la doble extorsión. Perspectiva: la respuesta rápida reduce drásticamente la ventana de exfiltración y el impacto del ransomware.Lecciones para la ciberseguridad en 2025: vigilancia de los afiliados y exigencia de transparencia.

El caso es un recordatorio de que los afiliados de los cibercriminales se adaptan rápidamente. Las campañas de ransomware humano han aumentado en los últimos años. Las partes interesadas prefieren las aplicaciones expuestas públicamente para obtener el máximo beneficio.

Los proveedores deben asumir una mayor responsabilidad. Las organizaciones exigen plazos e indicadores de ataque claros. Las respuestas tardías socavan la confianza y aumentan el riesgo para el ecosistema. AltoTech está reorientando su estrategia: auditorías periódicas, pruebas de recuperación y contratos de transparencia con proveedores. La conclusión: la defensa depende tanto de la respuesta rápida como de la comunicación clara entre proveedores, clientes y actores clave de la ciberseguridad. Fuente: www.theregister.com