Falha crítica no GoAnywhere MFT explorada pelo ransomware Medusa; saiba como se proteger

Medusa explora falha crítica no GoAnywhere MFT em ataques globais; Microsoft emite alerta urgente.

Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Um alerta urgente da Microsoft confirma que cibercriminosos estão explorando ativamente uma vulnerabilidade crítica no GoAnywhere MFT, uma das soluções mais utilizadas no mundo para transferência gerenciada de arquivos corporativos. A falha, identificada como CVE-2025-10035, está sendo usada pelo grupo de ransomware Medusa para invadir redes e criptografar sistemas empresariais.

Este artigo explica em detalhes como a vulnerabilidade funciona, de que forma o grupo Medusa está conduzindo os ataques e, principalmente, quais medidas imediatas administradores de sistemas devem adotar para proteger suas infraestruturas.

A confirmação da exploração ativa pela Microsoft reforça a gravidade da situação. O GoAnywhere MFT, desenvolvido pela Fortra, é amplamente utilizado em ambientes corporativos críticos, o que torna o impacto potencial da falha ainda mais alarmante.

Ransomware

O que é a vulnerabilidade CVE-2025-10035?

A vulnerabilidade CVE-2025-10035 afeta o GoAnywhere MFT e foi classificada com severidade crítica (pontuação CVSS de 9,8). O problema está relacionado a uma falha de desserialização de dados não confiáveis, que permite a um atacante remoto executar código arbitrário nos servidores vulneráveis sem necessidade de autenticação.

Em termos práticos, isso significa que um cibercriminoso pode tomar o controle total do sistema afetado, implantar malwares e ransomwares, ou usar o servidor comprometido como ponto de entrada para movimentos laterais dentro da rede corporativa.

A Fortra confirmou que versões anteriores à 7.4.2 do GoAnywhere MFT são vulneráveis e que um patch corretivo já está disponível. No entanto, a exploração ativa indica que muitos ambientes ainda não aplicaram a atualização, expondo-se a riscos significativos.

Entendendo a falha de desserialização

Para compreender o problema, é importante entender o conceito de desserialização. Quando um software precisa armazenar ou transmitir dados complexos (como objetos em Java ou Python), ele os “serializa” — ou seja, converte essas informações em um formato que possa ser facilmente salvo ou enviado.

O problema surge quando o programa aceita dados serializados de fontes não confiáveis. Se o conteúdo recebido for malicioso, o sistema pode “reconstruir” objetos com código arbitrário, abrindo uma brecha para execução remota de comandos.

No caso do GoAnywhere MFT, essa desserialização insegura permite que o invasor injete comandos diretamente no servidor, sem interação humana — um dos cenários mais perigosos em segurança da informação.

Storm-1175 e o ransomware Medusa: a anatomia do ataque

Segundo a Microsoft Threat Intelligence, a vulnerabilidade no GoAnywhere MFT está sendo ativamente explorada pelo grupo Storm-1175, um afiliado vinculado ao ransomware Medusa. Os ataques seguem uma cadeia de infecção bem estruturada, que combina exploração direta, persistência furtiva e exfiltração de dados antes da criptografia.

Acesso inicial e persistência

O ataque começa com a exploração da falha CVE-2025-10035, permitindo que os invasores implantem scripts e ferramentas de acesso remoto. Após obter acesso ao servidor, os criminosos instalam soluções de gerenciamento remoto (RMM) como SimpleHelp e MeshAgent, garantindo persistência mesmo após tentativas de mitigação.

Essas ferramentas são legítimas, mas quando utilizadas de forma maliciosa, tornam-se excelentes meios para controlar sistemas comprometidos sem levantar suspeitas imediatas.

Reconhecimento e movimento lateral

Com o acesso inicial consolidado, o grupo Storm-1175 realiza uma fase de reconhecimento interno, utilizando ferramentas como Netscan para mapear redes e identificar máquinas de alto valor (como servidores de banco de dados ou controladores de domínio).

Posteriormente, os invasores usam o mstsc.exe (Cliente de Conexão de Área de Trabalho Remota da Microsoft) para se mover lateralmente dentro da rede, ampliando o controle sobre os sistemas e preparando o terreno para o ataque de ransomware.

Exfiltração de dados e criptografia

Antes de iniciar o processo de criptografia, o grupo rouba informações sensíveis da vítima utilizando a ferramenta Rclone, frequentemente usada para sincronização de dados com serviços em nuvem.

Esses dados são posteriormente armazenados em servidores controlados pelos invasores e usados como alavanca em ataques de dupla extorsão — onde a vítima é ameaçada tanto pela perda de acesso aos arquivos quanto pela exposição pública de dados sigilosos.

A etapa final é a implantação do ransomware Medusa, que criptografa os arquivos e exibe a nota de resgate, exigindo pagamento em criptomoedas para liberar as chaves de descriptografia.

Ação imediata: como proteger seus sistemas e verificar comprometimento

A exploração ativa da vulnerabilidade GoAnywhere MFT exige respostas rápidas e coordenadas. A seguir, um conjunto de medidas essenciais para administradores de sistemas e equipes de segurança.

Atualização é mandatória

A Fortra e a Microsoft recomendam atualizar imediatamente o GoAnywhere MFT para as versões 7.4.2 ou superiores, que corrigem a CVE-2025-10035.

A atualização elimina a falha de desserialização e deve ser acompanhada de uma revisão completa das permissões e acessos concedidos aos serviços relacionados. Organizações que não puderem aplicar o patch imediatamente devem isolar o sistema vulnerável da internet até a correção ser implementada.

Verificando logs por sinais de invasão

A Fortra também orienta os administradores a inspecionar os arquivos de log do GoAnywhere MFT. Um indicador claro de tentativa de exploração é a presença de erros de rastreamento de pilha (stack trace) contendo a string SignedObject.getObject.

Caso esses registros sejam identificados, é fundamental tratar o servidor como comprometido, realizar uma análise forense detalhada e revogar todas as credenciais de acesso associadas.

Além disso, é recomendável monitorar atividades suspeitas envolvendo ferramentas como Rclone, SimpleHelp, MeshAgent e mstsc.exe, pois seu uso em horários incomuns pode indicar movimentos laterais ou transferência de dados não autorizada.

Conclusão: a urgência da gestão de patches em um cenário de ameaças ativas

A exploração da falha crítica no GoAnywhere MFT pelo grupo Medusa é um lembrete contundente de como os cibercriminosos agem rapidamente para transformar vulnerabilidades em armas eficazes.

A aplicação imediata de patches, aliada a uma política rigorosa de monitoramento e resposta a incidentes, é essencial para reduzir o risco de comprometimento e minimizar danos.

Não espere se tornar a próxima vítima do Medusa. Revise agora mesmo seus servidores GoAnywhere MFT, aplique as atualizações recomendadas e verifique seus logs de sistema.

Compartilhe este alerta com sua equipe de TI e mantenha-se atualizado — a cibersegurança é uma corrida constante contra o tempo.

Compartilhe este artigo