Se ha publicado un análisis detallado sobre las operaciones de Storm-1175, un actor de cibercrimen motivado financieramente. Este grupo se caracteriza por campañas de ransomware de altísima velocidad, donde explotan sistemas expuestos a la web durante la crítica ventana de tiempo que existe entre la divulgación de una vulnerabilidad y la adopción masiva del parche. Tras obtener el acceso inicial, Storm-1175 avanza rápidamente hacia la exfiltración de datos y el despliegue del ransomware Medusa, logrando el compromiso total del entorno corporativo en cuestión de días y, en algunos casos, en menos de 24 horas. Sus ataques recientes han impactado fuertemente a los sectores de salud, educación, servicios profesionales y finanzas a nivel global.
Anatomía del Ataque
El modus operandi de Storm-1175 destaca por su dependencia de vulnerabilidades recientes (N-days) y, cada vez más, de zero-days, encadenando técnicas para lograr el control del sistema:
- Explotación Inicial (Vectores Perimetrales): El grupo ataca rápidamente activos web expuestos. Tienen un arsenal comprobado de más de 16 vulnerabilidades explotadas, incluyendo fallos en Microsoft Exchange (CVE-2023-21529), Ivanti (CVE-2023-46805), ConnectWise (CVE-2024-1709), JetBrains TeamCity, y ataques zero-day recientes en GoAnywhere MFT (CVE-2025-10035) y SmarterMail (CVE-2026-23760).
- Persistencia Encubierta: Inmediatamente después de la explotación, instalan una web shell o un payload de acceso remoto. Para asegurar su persistencia, el atacante crea nuevas cuentas de usuario locales y las añade directamente al grupo de Administradores.
- Movimiento Lateral y Herramientas (LOLBins y RMMs): Para moverse por la red y evadir detecciones, utilizan binarios legítimos del sistema (PowerShell, PsExec), túneles de Cloudflare ocultos (renombrados como conhost.exe), e incluso modifican las reglas del Firewall de Windows para habilitar RDP. Además, abusan extensamente de herramientas legítimas de Monitoreo y Gestión Remota (RMM) como Atera, N-able, AnyDesk y ConnectWise.
- Robo de Credenciales y Despliegue: Utilizan herramientas como Impacket y Mimikatz para extraer credenciales de la memoria (LSASS). Finalmente, tras robar y exfiltrar la información de la empresa, abusan de herramientas de despliegue de software legítimo, como PDQ Deployer (o políticas de grupo – GPOs), para distribuir silenciosa y masivamente el payload del ransomware Medusa.
Impacto
El modelo de “alta velocidad” (high-tempo) de Storm-1175 reduce drásticamente el tiempo de reacción de los equipos de seguridad. El impacto directo es la paralización operativa por el cifrado de sistemas (Medusa) y el alto riesgo de extorsión pública por la exfiltración de datos confidenciales. Al abusar de herramientas administrativas legítimas (PDQ Deployer, RMMs), el atacante logra fundirse con el ruido diario del área de TI, lo que complica enormemente la detección y el bloqueo automatizado mediante antivirus tradicionales.
Recomendaciones y Mitigación Inmediata
- Gestión de Superficie de Ataque: Utilizar herramientas de escaneo perimetral para identificar y priorizar el parcheo urgente de cualquier aplicación web, VPN, o servidor de transferencia de archivos expuesto a Internet público.
- Aislamiento y Protección Web: Si un servidor debe estar accesible desde el exterior, colóquelo obligatoriamente detrás de un Firewall de Aplicaciones Web (WAF) o en una zona desmilitarizada (DMZ) para mitigar intentos de explotación.
- Implementación de Credential Guard: Habilitar de inmediato Windows Defender Credential Guard (disponible y activado por defecto en Windows 11) para proteger los secretos almacenados en el proceso lsass.exe y prevenir los ataques de Impacket o Mimikatz que utiliza este grupo.
- Protección Contra Alteraciones (Tamper Protection): Activar las funcionalidades de protección contra manipulaciones en sus soluciones de seguridad a nivel general (tenant-wide) para evitar que los atacantes apaguen el EDR o creen exclusiones falsas tras obtener privilegios de administrador. (Ej. Habilitar DisableLocalAdminMerge en Intune).
- Auditoría de Herramientas RMM: Revisar estrictamente el uso de aplicaciones de acceso remoto (AnyDesk, Atera, etc.). Bloquear a nivel de firewall de red o control de aplicaciones cualquier RMM que no esté oficialmente sancionado por el departamento de TI corporativo.
