Microsoft har publicerat en detaljerad analys av Storm-1175, en hotaktör som driver Medusa ransomware med en hastighet som få andra grupper matchar. Gruppen utnyttjar sårbarheter i webbexponerade system — ibland innan en patch ens finns tillgänglig.

Vem är Storm-1175?

Storm-1175 är en ransomware-affiliate som Microsoft har spårat sedan 2023. Gruppen opererar Medusa ransomware-as-a-service och har kopplats till attacker mot organisationer världen över. Enligt Microsofts analys har gruppen utnyttjat minst 16 kända sårbarheter, inklusive tre zero-days — sårbarheter som utnyttjades innan de var offentligt kända.

Bland de senaste zero-day-attackerna finns CVE-2026-23760, en autentiseringsbypass i SmarterMail som utnyttjades en vecka innan den offentliggjordes, och CVE-2025-10035 i GoAnywhere MFT. Gruppen har även utnyttjat en kritisk sårbarhet i BeyondTrust Remote Support (CVE-2026-1731).

Snabb exploatering av kända sårbarheter

Det som utmärker Storm-1175 är hastigheten. Gruppen skannar aktivt efter webbexponerade system med kända sårbarheter och kan gå från initial åtkomst till ransomware-distribution på mycket kort tid. De fokuserar på system som är direkt åtkomliga från internet — e-postservrar, filöverföringsverktyg och fjärrsupportlösningar.

För småföretag som kör dessa typer av tjänster utan dedikerad säkerhetsövervakning är risken påtaglig. En enda opatachad server kan vara allt som krävs.

Vilka system är i riskzonen?

Baserat på Microsofts analys riktar sig Storm-1175 mot:

SmarterMail — e-postserver populär bland SMB. GoAnywhere MFT — filöverföringsverktyg för företag. BeyondTrust Remote Support — fjärrsupportlösning. Samt en rad andra webbexponerade tjänster med kända sårbarheter.

Så skyddar du ditt företag

Inventera alla system som är exponerade mot internet. Prioritera patchning av e-postservrar, filöverföringsverktyg och fjärråtkomstlösningar — det är exakt dessa system Storm-1175 letar efter.

Implementera nätverkssegmentering så att en komprometterad server inte ger åtkomst till hela nätverket. Säkerställ att ni har fungerande och testad backup som är isolerad från produktionsmiljön. Övervaka inloggningsförsök och nätverkstrafik för att upptäcka intrång tidigt.

Behöver ni hjälp att granska era exponerade system eller stärka ert ransomware-skydd? Kontakta BlckIT så hjälper vi er att identifiera och åtgärda riskerna innan det är för sent.