.
Os pesquisadores de segurança observaram hackers vinculados à notória gangue Lockbit, explorando um par de vulnerabilidades do ForteTinet Firewall para implantar ransomware em várias redes da empresa.
Em Um relatório publicado na semana passadapesquisadores de segurança da Forescout Research disseram que um grupo está rastreando chamado “mora_001” está explorando os firewalls da Fortinet, que ficam na beira da rede de uma empresa e atuam como gatekeepers digitais, para entrar e implantar uma tensão de ransomware personalizada que eles chamam de “Superblack”.
Uma das vulnerabilidades, rastreadas como CVE-2024-55591tem sido explorado em ataques cibernéticos para violar as redes corporativas dos clientes da Fortinet desde dezembro de 2024. Forescout diz um segundo bug, rastreado como CVE-2025-24472também está sendo explorado por mora_001 em ataques. A Fortinet lançou patches para ambos os insetos em janeiro.
Sai Molige, gerente sênior de caça de ameaças na Forescout, disse ao Strong The One que a empresa de segurança cibernética “investigou três eventos em diferentes empresas, mas acreditamos que poderia haver outras”.
Em uma intrusão confirmada, a Forescout disse que observou o invasor “seletivamente” criptografando servidores de arquivos contendo dados confidenciais.
“A criptografia foi iniciada somente após a exfiltração de dados, alinhando -se com tendências recentes entre os operadores de ransomware que priorizam o roubo de dados sobre pura interrupção”, disse Molige.
Forescout diz que o ator de ameaças de Mora_001 “exibe uma assinatura operacional distinta”, que a empresa diz que tem “laços estreitos” à gangue Lockbit Ransomware, que foi interrompida no ano passado pelas autoridades dos EUA. Molige disse que o excelente ransomware é baseado no construtor vazado por trás do malware usado em ataques Lockbit 3.0, enquanto uma nota de resgate usada por mora_001 inclui o mesmo endereço de mensagens usado pelo Lockbit.
“Essa conexão pode indicar que Mora_001 é um afiliado atual com métodos operacionais exclusivos ou um grupo associado de compartilhamento de canais de comunicação”, disse Molige.
Stefan Hostetler, chefe de inteligência de ameaças da empresa de segurança cibernética Arctic Wolf, que Exploração observada anteriormente da CVE-2024-55591diz a Strong The One que as descobertas da Forescout sugerem que os hackers estão “perseguindo as demais organizações que não conseguiram aplicar o patch ou endurecer suas configurações de firewall quando a vulnerabilidade foi originalmente divulgada”.
Hostetler diz que a nota de resgate usada nesses ataques tem semelhanças com a de outros grupos, como a gangue ALPHV/Blackcat Ransomware, agora extinta.
Fortinet não respondeu às perguntas da Strong The One.
.
