Falha crítica no GoAnywhere MFT explorada pelo ransomware Medusa; saiba como se proteger

Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Medusa explora falha crítica no GoAnywhere MFT em ataques globais; Microsoft emite alerta urgente.

Um alerta urgente da Microsoft confirma que cibercriminosos estão explorando ativamente uma vulnerabilidade crítica no GoAnywhere MFT, uma das soluções mais utilizadas no mundo para transferência gerenciada de arquivos corporativos. A falha, identificada como CVE-2025-10035, está sendo usada pelo grupo de ransomware Medusa para invadir redes e criptografar sistemas empresariais.

Este artigo explica em detalhes como a vulnerabilidade funciona, de que forma o grupo Medusa está conduzindo os ataques e, principalmente, quais medidas imediatas administradores de sistemas devem adotar para proteger suas infraestruturas.

A confirmação da exploração ativa pela Microsoft reforça a gravidade da situação. O GoAnywhere MFT, desenvolvido pela Fortra, é amplamente utilizado em ambientes corporativos críticos, o que torna o impacto potencial da falha ainda mais alarmante.

Ransomware

O que é a vulnerabilidade CVE-2025-10035?

A vulnerabilidade CVE-2025-10035 afeta o GoAnywhere MFT e foi classificada com severidade crítica (pontuação CVSS de 9,8). O problema está relacionado a uma falha de desserialização de dados não confiáveis, que permite a um atacante remoto executar código arbitrário nos servidores vulneráveis sem necessidade de autenticação.

Em termos práticos, isso significa que um cibercriminoso pode tomar o controle total do sistema afetado, implantar malwares e ransomwares, ou usar o servidor comprometido como ponto de entrada para movimentos laterais dentro da rede corporativa.

A Fortra confirmou que versões anteriores à 7.4.2 do GoAnywhere MFT são vulneráveis e que um patch corretivo já está disponível. No entanto, a exploração ativa indica que muitos ambientes ainda não aplicaram a atualização, expondo-se a riscos significativos.

Entendendo a falha de desserialização

Para compreender o problema, é importante entender o conceito de desserialização. Quando um software precisa armazenar ou transmitir dados complexos (como objetos em Java ou Python), ele os “serializa” — ou seja, converte essas informações em um formato que possa ser facilmente salvo ou enviado.

O problema surge quando o programa aceita dados serializados de fontes não confiáveis. Se o conteúdo recebido for malicioso, o sistema pode “reconstruir” objetos com código arbitrário, abrindo uma brecha para execução remota de comandos.

No caso do GoAnywhere MFT, essa desserialização insegura permite que o invasor injete comandos diretamente no servidor, sem interação humana — um dos cenários mais perigosos em segurança da informação.

Storm-1175 e o ransomware Medusa: a anatomia do ataque

Segundo a Microsoft Threat Intelligence, a vulnerabilidade no GoAnywhere MFT está sendo ativamente explorada pelo grupo Storm-1175, um afiliado vinculado ao ransomware Medusa. Os ataques seguem uma cadeia de infecção bem estruturada, que combina exploração direta, persistência furtiva e exfiltração de dados antes da criptografia.

Acesso inicial e persistência

O ataque começa com a exploração da falha CVE-2025-10035, permitindo que os invasores implantem scripts e ferramentas de acesso remoto. Após obter acesso ao servidor, os criminosos instalam soluções de gerenciamento remoto (RMM) como SimpleHelp e MeshAgent, garantindo persistência mesmo após tentativas de mitigação.

Essas ferramentas são legítimas, mas quando utilizadas de forma maliciosa, tornam-se excelentes meios para controlar sistemas comprometidos sem levantar suspeitas imediatas.

Reconhecimento e movimento lateral

Com o acesso inicial consolidado, o grupo Storm-1175 realiza uma fase de reconhecimento interno, utilizando ferramentas como Netscan para mapear redes e identificar máquinas de alto valor (como servidores de banco de dados ou controladores de domínio).

Posteriormente, os invasores usam o mstsc.exe (Cliente de Conexão de Área de Trabalho Remota da Microsoft) para se mover lateralmente dentro da rede, ampliando o controle sobre os sistemas e preparando o terreno para o ataque de ransomware.

Exfiltração de dados e criptografia

Antes de iniciar o processo de criptografia, o grupo rouba informações sensíveis da vítima utilizando a ferramenta Rclone, frequentemente usada para sincronização de dados com serviços em nuvem.

Esses dados são posteriormente armazenados em servidores controlados pelos invasores e usados como alavanca em ataques de dupla extorsão — onde a vítima é ameaçada tanto pela perda de acesso aos arquivos quanto pela exposição pública de dados sigilosos.

A etapa final é a implantação do ransomware Medusa, que criptografa os arquivos e exibe a nota de resgate, exigindo pagamento em criptomoedas para liberar as chaves de descriptografia.

Ação imediata: como proteger seus sistemas e verificar comprometimento

A exploração ativa da vulnerabilidade GoAnywhere MFT exige respostas rápidas e coordenadas. A seguir, um conjunto de medidas essenciais para administradores de sistemas e equipes de segurança.

Atualização é mandatória

A Fortra e a Microsoft recomendam atualizar imediatamente o GoAnywhere MFT para as versões 7.4.2 ou superiores, que corrigem a CVE-2025-10035.

A atualização elimina a falha de desserialização e deve ser acompanhada de uma revisão completa das permissões e acessos concedidos aos serviços relacionados. Organizações que não puderem aplicar o patch imediatamente devem isolar o sistema vulnerável da internet até a correção ser implementada.

Verificando logs por sinais de invasão

A Fortra também orienta os administradores a inspecionar os arquivos de log do GoAnywhere MFT. Um indicador claro de tentativa de exploração é a presença de erros de rastreamento de pilha (stack trace) contendo a string SignedObject.getObject.

Caso esses registros sejam identificados, é fundamental tratar o servidor como comprometido, realizar uma análise forense detalhada e revogar todas as credenciais de acesso associadas.

Além disso, é recomendável monitorar atividades suspeitas envolvendo ferramentas como Rclone, SimpleHelp, MeshAgent e mstsc.exe, pois seu uso em horários incomuns pode indicar movimentos laterais ou transferência de dados não autorizada.

Conclusão: a urgência da gestão de patches em um cenário de ameaças ativas

A exploração da falha crítica no GoAnywhere MFT pelo grupo Medusa é um lembrete contundente de como os cibercriminosos agem rapidamente para transformar vulnerabilidades em armas eficazes.

A aplicação imediata de patches, aliada a uma política rigorosa de monitoramento e resposta a incidentes, é essencial para reduzir o risco de comprometimento e minimizar danos.

Não espere se tornar a próxima vítima do Medusa. Revise agora mesmo seus servidores GoAnywhere MFT, aplique as atualizações recomendadas e verifique seus logs de sistema.

Compartilhe este alerta com sua equipe de TI e mantenha-se atualizado — a cibersegurança é uma corrida constante contra o tempo.

Compartilhe este artigo
Follow:
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.