Um alerta urgente da Microsoft confirma que cibercriminosos estão explorando ativamente uma vulnerabilidade crítica no GoAnywhere MFT, uma das soluções mais utilizadas no mundo para transferência gerenciada de arquivos corporativos. A falha, identificada como CVE-2025-10035, está sendo usada pelo grupo de ransomware Medusa para invadir redes e criptografar sistemas empresariais.
Este artigo explica em detalhes como a vulnerabilidade funciona, de que forma o grupo Medusa está conduzindo os ataques e, principalmente, quais medidas imediatas administradores de sistemas devem adotar para proteger suas infraestruturas.
A confirmação da exploração ativa pela Microsoft reforça a gravidade da situação. O GoAnywhere MFT, desenvolvido pela Fortra, é amplamente utilizado em ambientes corporativos críticos, o que torna o impacto potencial da falha ainda mais alarmante.
O que é a vulnerabilidade CVE-2025-10035?
A vulnerabilidade CVE-2025-10035 afeta o GoAnywhere MFT e foi classificada com severidade crítica (pontuação CVSS de 9,8). O problema está relacionado a uma falha de desserialização de dados não confiáveis, que permite a um atacante remoto executar código arbitrário nos servidores vulneráveis sem necessidade de autenticação.
Em termos práticos, isso significa que um cibercriminoso pode tomar o controle total do sistema afetado, implantar malwares e ransomwares, ou usar o servidor comprometido como ponto de entrada para movimentos laterais dentro da rede corporativa.
A Fortra confirmou que versões anteriores à 7.4.2 do GoAnywhere MFT são vulneráveis e que um patch corretivo já está disponível. No entanto, a exploração ativa indica que muitos ambientes ainda não aplicaram a atualização, expondo-se a riscos significativos.
Entendendo a falha de desserialização
Para compreender o problema, é importante entender o conceito de desserialização. Quando um software precisa armazenar ou transmitir dados complexos (como objetos em Java ou Python), ele os “serializa” — ou seja, converte essas informações em um formato que possa ser facilmente salvo ou enviado.
O problema surge quando o programa aceita dados serializados de fontes não confiáveis. Se o conteúdo recebido for malicioso, o sistema pode “reconstruir” objetos com código arbitrário, abrindo uma brecha para execução remota de comandos.
No caso do GoAnywhere MFT, essa desserialização insegura permite que o invasor injete comandos diretamente no servidor, sem interação humana — um dos cenários mais perigosos em segurança da informação.
Storm-1175 e o ransomware Medusa: a anatomia do ataque
Segundo a Microsoft Threat Intelligence, a vulnerabilidade no GoAnywhere MFT está sendo ativamente explorada pelo grupo Storm-1175, um afiliado vinculado ao ransomware Medusa. Os ataques seguem uma cadeia de infecção bem estruturada, que combina exploração direta, persistência furtiva e exfiltração de dados antes da criptografia.
Acesso inicial e persistência
O ataque começa com a exploração da falha CVE-2025-10035, permitindo que os invasores implantem scripts e ferramentas de acesso remoto. Após obter acesso ao servidor, os criminosos instalam soluções de gerenciamento remoto (RMM) como SimpleHelp e MeshAgent, garantindo persistência mesmo após tentativas de mitigação.
Essas ferramentas são legítimas, mas quando utilizadas de forma maliciosa, tornam-se excelentes meios para controlar sistemas comprometidos sem levantar suspeitas imediatas.
Reconhecimento e movimento lateral
Com o acesso inicial consolidado, o grupo Storm-1175 realiza uma fase de reconhecimento interno, utilizando ferramentas como Netscan para mapear redes e identificar máquinas de alto valor (como servidores de banco de dados ou controladores de domínio).
Posteriormente, os invasores usam o mstsc.exe (Cliente de Conexão de Área de Trabalho Remota da Microsoft) para se mover lateralmente dentro da rede, ampliando o controle sobre os sistemas e preparando o terreno para o ataque de ransomware.
Exfiltração de dados e criptografia
Antes de iniciar o processo de criptografia, o grupo rouba informações sensíveis da vítima utilizando a ferramenta Rclone, frequentemente usada para sincronização de dados com serviços em nuvem.
Esses dados são posteriormente armazenados em servidores controlados pelos invasores e usados como alavanca em ataques de dupla extorsão — onde a vítima é ameaçada tanto pela perda de acesso aos arquivos quanto pela exposição pública de dados sigilosos.
A etapa final é a implantação do ransomware Medusa, que criptografa os arquivos e exibe a nota de resgate, exigindo pagamento em criptomoedas para liberar as chaves de descriptografia.
Ação imediata: como proteger seus sistemas e verificar comprometimento
A exploração ativa da vulnerabilidade GoAnywhere MFT exige respostas rápidas e coordenadas. A seguir, um conjunto de medidas essenciais para administradores de sistemas e equipes de segurança.
Atualização é mandatória
A Fortra e a Microsoft recomendam atualizar imediatamente o GoAnywhere MFT para as versões 7.4.2 ou superiores, que corrigem a CVE-2025-10035.
A atualização elimina a falha de desserialização e deve ser acompanhada de uma revisão completa das permissões e acessos concedidos aos serviços relacionados. Organizações que não puderem aplicar o patch imediatamente devem isolar o sistema vulnerável da internet até a correção ser implementada.
Verificando logs por sinais de invasão
A Fortra também orienta os administradores a inspecionar os arquivos de log do GoAnywhere MFT. Um indicador claro de tentativa de exploração é a presença de erros de rastreamento de pilha (stack trace) contendo a string SignedObject.getObject.
Caso esses registros sejam identificados, é fundamental tratar o servidor como comprometido, realizar uma análise forense detalhada e revogar todas as credenciais de acesso associadas.
Além disso, é recomendável monitorar atividades suspeitas envolvendo ferramentas como Rclone, SimpleHelp, MeshAgent e mstsc.exe, pois seu uso em horários incomuns pode indicar movimentos laterais ou transferência de dados não autorizada.
Conclusão: a urgência da gestão de patches em um cenário de ameaças ativas
A exploração da falha crítica no GoAnywhere MFT pelo grupo Medusa é um lembrete contundente de como os cibercriminosos agem rapidamente para transformar vulnerabilidades em armas eficazes.
A aplicação imediata de patches, aliada a uma política rigorosa de monitoramento e resposta a incidentes, é essencial para reduzir o risco de comprometimento e minimizar danos.
Não espere se tornar a próxima vítima do Medusa. Revise agora mesmo seus servidores GoAnywhere MFT, aplique as atualizações recomendadas e verifique seus logs de sistema.
Compartilhe este alerta com sua equipe de TI e mantenha-se atualizado — a cibersegurança é uma corrida constante contra o tempo.
