Исследователи безопасности наблюдали, как хакеры связаны с пресловутой бандой Lockbit, использующей пару уязвимостей брандмауэра Fortinet для развертывания вымогателей в нескольких сетях компаний.
В отчете, опубликованном на прошлой неделе, исследователи безопасности в Forescout Research заявили, что группа ее отслеживает название «Mora_001», использует брандмауэры Fortinet, которые находятся на грани сети компании и выступают в качестве цифровых привратников, чтобы внедрить и развернуть настраиваемое напряжение вымогателей, которые они называют «Суперблаком».
Одна из уязвимостей, отслеживаемой как CVE-2024-55591, была эксплуатирована в кибератаках, чтобы нарушить корпоративные сети клиентов Fortinet с декабря 2024 года. Forescout говорит, что вторая ошибка, отслеживаемая как CVE-2025-24472, также используется MORA_001 в азартных азам. Fortinet выпустил патчи для обоих ошибок в январе.
Саи Молиге, старший менеджер по охоте на угрозы в Forescout, сказал TechCrunch, что фирма по кибербезопасности «расследовала три мероприятия в разных компаниях, но мы считаем, что могут быть другие».
В одном подтвержденном вторжении, Forescout сказал, что он наблюдал, как злоумышленник «селективно» шифровал файловые серверы, содержащие конфиденциальные данные.
«Шифрование было инициировано только после эксфильтрации данных, что соответствует недавним тенденциям среди операторов вымогателей, которые определяют приоритеты кражи данных из -за чистого нарушения», — сказал Молиге.
Forescout говорит, что актер угроз Mora_001 «демонстрирует четкую операционную подпись», которая, по словам фирмы, имеет «тесные связи» с бандой вымогателей Lockbit, которая была нарушена в прошлом году властями. Molige сказал, что вымогатель Superblack основан на просочившемся строителе за вредоносным программным обеспечением, используемым в атаках Lockbit 3.0, в то время как нота выкупа, используемая MORA_001, включает тот же адрес обмена сообщениями, используемый Lockbit.
«Это соединение может указывать на то, что MORA_001 является либо текущим филиалом с уникальными эксплуатационными методами, либо ассоциированной группой, обмениваясь каналами связи», — сказал Молиге.
Стефан Хостетлер, глава отдела угроз в области кибербезопасности Arctic Wolf, которая ранее наблюдала эксплуатацию CVE-20124-55591, говорит TechCrunch, что выводы Forescout показывают, что хакеры «следуют оставшимся организациям, которые не смогли применить патч или затвердевать конфигурации по сопоставлению от бранки, когда уязвимость была изначально раскрыта».
Hostetler говорит, что нота выкупа, используемая в этих атаках, имеет сходство с другими группами, такими как ныне неопределенная банда Ransomware Alphv/Blackcat.
Fortinet не ответил на вопросы TechCrunch.
