Cercetătorii de securitate au observat că hackeri legați de renumita bandă LockBit exploatează o pereche de vulnerabilități de firewall Fortinet pentru a implementa ransomware pe mai multe rețele ale companiei anunță TechCrunch.
Într-un raport publicat săptămâna trecută, cercetătorii de securitate de la Forescout Research au spus că un grup pe care îl urmărește numit „Mora_001” exploatează firewall-urile Fortinet, care se află la marginea rețelei unei companii și acționează ca paznici digitali, pentru a intra și a implementa o versiune de ransomware personalizată pe care o numesc „SuperBlack”.
Una dintre vulnerabilități, urmărită ca CVE-2024-55591, a fost exploatată în atacuri cibernetice pentru a încălca rețelele corporative ale clienților Fortinet din decembrie 2024. Forescout spune că o a doua eroare, urmărită ca CVE-2025-24472, este, de asemenea, exploatată de Mora_001 în atacuri. Fortinet a lansat patch-uri pentru ambele erori în ianuarie.
Sai Molige, senior manager of threat hunting la Forescout, a declarat pentru TechCrunch că firma de securitate cibernetică a „investigat trei evenimente în companii diferite, dar credem că ar putea exista și altele”.
Într-o intruziune confirmată, Forescout a spus că a observat atacatorul criptând „selectiv” servere de fișiere care conțin date sensibile.
„Criptarea a fost inițiată numai după exfiltrarea datelor, aliniindu-se cu tendințele recente în rândul operatorilor de ransomware, care acordă prioritate furtului de date față de întreruperea pură”, a spus Molige.
Forescout spune că grupul Mora_001 „demonstrează o semnătură operațională distinctă”, despre care firma spune că are „legături strânse” cu banda de ransomware LockBit, care a fost perturbată anul trecut de autoritățile americane. Molige a spus că ransomware-ul SuperBlack se bazează pe o versiune a malware-ului folosit în atacurile LockBit 3.0, în timp ce o notă de răscumpărare folosită de Mora_001 include aceeași adresă de mesagerie folosită de LockBit.
„Această conexiune ar putea indica faptul că Mora_001 este fie un afiliat actual cu metode operaționale unice, fie un grup asociat care partajează canale de comunicare”, a spus Molige.
Stefan Hostetler, șeful departamentului de informații despre amenințări la firma de securitate cibernetică Arctic Wolf, care a observat anterior exploatarea CVE-2024-55591, spune lui TechCrunch că descoperirile lui Forescout sugerează că hackerii „caută organizațiile care nu au apucat sau nu au putut să aplice patch-ul sau să-și întărească configurațiile firewall-ului când vulnerabilitatea a fost dezvăluită inițial”.
Hostetler spune că nota de răscumpărare folosită în aceste atacuri prezintă asemănări cu cea a altor grupuri, cum ar fi grupul de ransomware ALPHV/BlackCat, acum dispărut.
