Stellen Sie sich vor: Sie liegen blutend in der Notaufnahme, aber die Ärzte kriegen Ihre Akte nicht mehr ran. Die Lichter flackern – nicht wegen eines Sturms, sondern wegen Storm-1175.
Chinas gewiefte Cyberkriminelle, bewaffnet mit Medusa Ransomware, knacken Zero-Days wie Kinder eine Piñata. Erste Opfer: echte Menschen. Krankenhäuser stehen still. Schulen schließen. Banken sperren Ihren Lohn. Und Microsofts frische Infos? Ein Weckruf, den wir schon vor Jahren gebraucht hätten.
Die Sache ist: Das sind keine lahmen Script-Kiddies. Storm-1175 entdeckt eine Lücke, bastelt einen Exploit in Tagen (manchmal Stunden), kettet ihn mit Credential-Diebstahl und Backdoors. Peng. Ransomware landet. Daten abgezweigt. Sie sind ausgesperrt.
“Storm-1175 bewegt sich rasend schnell vom Initial Access zur Datenexfiltration und zum Deployment der Medusa Ransomware – oft innerhalb weniger Tage, in manchen Fällen in 24 Stunden”, heißt es bei Microsoft.
Knackig, oder? Das ist ihr Rhythmus. Höllische Geschwindigkeit.
Warum Storm-1175 auf Krankenhäuser abzielt
Gesundheitswesen? Leichte Beute. Grund: alte Systeme, hastige Patches, knappe IT-Budgets. Storm-1175 haut in den USA, UK, Australien rein. Bildung, Finanzen auch – aber nichts schreit so nach Chaos wie ein gelähmter OP.
Überlegen Sie mal. Ein Zero-Day in GoAnywhere MFT (CVE-2025-10035), eine Woche vor dem Patch ausgenutzt. Ein weiteres in SmarterMail (CVE-2026-23760), reiner Auth-Bypass. Die warten nicht auf Vendoren. Die kaufen bei Brokern oder bauen selbst. Evolviert, sagt Microsoft. Ich sage: räuberisch.
Und die Kette? Heimtückisch. Neue Userkonten. RMM-Tools reingeschmuggelt. Security-Software gekillt. Dann Medusa. Über 16 Lücken in 10 Produkten – Exchange, Papercut, Ivanti, ConnectWise, JetBrains, was Sie wollen. Ein Buffet.
Kurz: Perimeter offen? Sie sind geliefert.
Aber Achtung, Corporate-Spin: Microsoft merkt an, GoAnywhere und SmarterMail hatten schon frühere Lücken. Als ob das Zero-Days entschuldigt. Nee. Das Tempo dieser Bande riecht nach staatlichen Ressourcen (china-basiert, erinnern Sie sich?). Kein Einzeltäter.
Hält Patching mit Storm-1175 Schritt?
Fehlanzeige.
N-Days werden in einem Tag weaponisiert. Zero-Days? Wochen vor Patches. CISA warnte im März: Über 300 US-Kritische-Infrastruktur-Organisationen von Medusa getroffen. FBI, MS-ISAC schalten mit. Juli ‘24? Verknüpft mit Black Basta, Akira über VMware-Lücken.
Patching ist in den meisten Läden ein Witz. Vendoren zögern. Admins überfordert. Storm-1175 nutzt die Lücke – präzise.
Mein Tipp: Das folgt dem WannaCry-Muster von 2017, nur schneller, schlauer. Nordkorea hat damals Krankenhäuser lahmgelegt; Chinas Truppe macht’s jetzt für Profit. Vorhersage: Bis 2026 treffen Medusa-Varianten 1000 Firmen pro Jahr, wenn wir nicht Echtzeit-Vuln-Scans verpflichten. Keine “Patch-Tuesday”-Ausreden mehr.
Ich berichte seit CryptoLocker über Ransomware. Das fühlt sich anders an. Finanziell motiviert, klar – aber Zero-Day-Zugang? Riecht nach Exploit-Bazar mit Peking-Hintermännern. Microsoft ist höflich; ich nicht. Aufwachen, CISOs.
Betroffene Branchen: Gesundheitswesen (klarer Schmerz), Profi-Dienste, Finanzen, Bildung. Australien, UK, USA. Ihre Firma ist dran, wenn CrushFTP, SimpleHelp, BeyondTrust oder der ganze Rest läuft.
Trockener Humor: Wenigstens sind sie faire Erpresser. Keine Favoriten – nur fette Lösegelder.
Storm-1175s Spielplan: Vom Zero-Day zum Payday
Schritt 1: Perimeter scannen. Loch finden.
Schritt 2: Ausnutzen. Kette falls nötig – wie Ivantis Duo (CVE-2023-46805, CVE-2024-21887).
Schritt 3: Andocken. Creds klauen, RMM droppen, EDR killen.
Schritt 4: Exfil, verschlüsseln, Bitcoin fordern.
Know-how? Unbestritten. Neueste Kampagnen: JetBrains TeamCity-Doubles (CVE-2024-27198/27199), SmarterMail nochmal (CVE-2025-52691). Sie recyceln, iterieren.
Microsoft jagt sie seit Oktober. Gut so. Aber der Haken: Während Big Tech warnt, ertr
