Cercetătorii în securitate au observat hackerii, legați de grupul infam LockBit, exploatând două vulnerabilități ale firewall-urilor Fortinet pentru a implementa ransomware pe mai multe rețele de companii.
Potrivit unui raport publicat de Forescout Research, grupul „Mora_001” exploatează aceste vulnerabilități pentru a pătrunde în rețelele corporative și a lansa un tip personalizat de ransomware numit „SuperBlack”.
Una dintre vulnerabilități, identificată ca CVE-2024-55591, a fost exploatată de la sfârșitul lunii decembrie 2024 pentru a pătrunde în rețelele companiilor care folosesc firewall-urile Fortinet. O a doua vulnerabilitate, CVE-2025-24472, este, de asemenea, folosită în atacuri. Fortinet a lansat patch-uri pentru ambele probleme în luna ianuarie.
Forescout a investigat trei incidente în companii diferite, dar cercetătorii consideră că ar putea exista și alte atacuri. Într-un atac confirmat, hackerii au criptat selectiv serverele de fișiere ce conțineau date sensibile, inițiind criptarea doar după ce au exfiltrat datele, o practică tot mai des întâlnită în rândul operatorilor de ransomware.
Forescout a legat grupul Mora_001 de LockBit, menționând similaritățile dintre notele de răscumpărare folosite și cele ale altor grupuri de ransomware, inclusiv ALPHV/BlackCat.
