Um novo operador de ransomware denominado 'Mora_001' está explorando duas vulnerabilidades da Fortinet para obter acesso não autorizado a appliances de firewall e implantar uma variante de ransomware personalizada chamada SuperBlack.
As duas vulnerabilidades, ambas de bypass de autenticação, são
CVE-2024-55591
e
CVE-2025-24472
, divulgadas pela Fortinet em janeiro e fevereiro, respectivamente.
Quando a Fortinet divulgou a
CVE-2024-55591
pela primeira vez, em 14 de janeiro, confirmou que ela havia sido explorada como um zero-day, com a Arctic Wolf afirmando que ela havia sido usada em ataques desde novembro de 2024 para violar firewalls FortiGate.
De forma confusa, em 11 de fevereiro, a Fortinet adicionou a
CVE-2025-24472
ao seu aviso de janeiro, o que levou muitos a acreditar que era uma falha recém explorada.
No entanto, a Fortinet informou que esse bug também foi corrigido em janeiro de 2024 e não foi explorado.
"Não temos conhecimento de que a
CVE-2025-24472
tenha sido explorada", informou a Fortinet.
Entretanto, um novo relatório dos pesquisadores da Forescout diz que eles descobriram os ataques do SuperBlack no final de janeiro de 2025, com o ator de ameaças utilizando a
CVE-2025-24472
já em 2 de fevereiro de 2025.
"Embora a Forescout em si não tenha reportado diretamente a exploração da 24472 à Fortinet, uma das organizações afetadas com quem trabalhamos estava compartilhando descobertas de nossa investigação com a equipe PSIRT da Fortinet", disse a Forescout.
"Pouco depois, a Fortinet atualizou seu aviso em 11 de fevereiro para reconhecer a
CVE-2025-24472
como ativamente explorada."
A Forescout diz que o operador de ransomware Mora_001 segue uma cadeia de ataques altamente estruturada que não varia muito entre as vítimas.
Primeiro, o atacante obtém privilégios de 'super_admin' explorando as duas falhas da Fortinet usando ataques baseados em WebSocket através da interface jsconsole ou enviando solicitações HTTPS diretas para interfaces de firewall expostas.
Em seguida, eles criam novas contas de administrador (forticloud-tech, fortigate-firewall, adnimistrator) e modificam tarefas de automação para recriá-las caso sejam removidas.
Após isso, o atacante mapeia a rede e tenta o movimento lateral usando credenciais VPN roubadas e novas contas VPN, Windows Management Instrumentation (WMIC) & SSH e autenticação TACACS+/RADIUS.
Mora_001 rouba dados usando uma ferramenta personalizada antes de criptografar arquivos para extorsão dupla, priorizando servidores de arquivos e bancos de dados e controladores de domínio.
Após o processo de criptografia, notas de resgate são deixadas no sistema da vítima.
Um wiper personalizado chamado 'WipeBlack' é então implantado para remover todos os vestígios do executável do ransomware para dificultar a análise forense.
A Forescout encontrou extensas evidências indicando fortes ligações entre a operação de ransomware SuperBlack e o ransomware LockBit, embora o primeiro pareça agir independentemente.
O primeiro elemento é que o criptografador SuperBlack [VirusTotal] é baseado no construtor vazado do LockBit 3.0, apresentando uma estrutura de payload idêntica e métodos de criptografia, mas com toda a marca original retirada.
Em segundo lugar, a nota de resgate do SuperBlack inclui um ID de chat TOX vinculado às operações do LockBit, sugerindo que Mora_001 seja ou um afiliado anterior do LockBit ou um ex-membro de sua equipe principal gerenciando pagamentos e negociações de resgate.
O terceiro elemento sugerindo um vínculo são as sobreposições extensivas de endereços IP com operações anteriores do LockBit.
Além disso, o WipeBlack também foi utilizado pelo ransomware BrainCipher, EstateRansomware e SenSayQ ransomware, todos ligados ao LockBit.
A Forescout compartilhou uma extensa lista de indicadores de compromisso (IoC) vinculados aos ataques de ransomware SuperBlack no final de seu relatório.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...