Hackerii exploatează vulnerabilităţile firewall-ului Fortinet pentru a lansa ransomware

Cercetătorii în securitate au observat hackerii, legaţi de grupul infam LockBit, exploatând două vulnerabilităţi ale firewall-urilor Fortinet pentru a implementa ransomware pe mai multe reţele de companii.

Potrivit unui raport publicat de Forescout Research, grupul „Mora_001” exploatează aceste vulnerabilităţi pentru a pătrunde în reţelele corporative şi a lansa un tip personalizat de ransomware numit „SuperBlack”.

Una dintre vulnerabilităţi, identificată ca CVE-2024-55591, a fost exploatată de la sfârşitul lunii decembrie 2024 pentru a pătrunde în reţelele companiilor care folosesc firewall-urile Fortinet. O a doua vulnerabilitate, CVE-2025-24472, este, de asemenea, folosită în atacuri. Fortinet a lansat patch-uri pentru ambele probleme în luna ianuarie.

Forescout a investigat trei incidente în companii diferite, dar cercetătorii consideră că ar putea exista şi alte atacuri. Într-un atac confirmat, hackerii au criptat selectiv serverele de fişiere ce conţineau date sensibile, iniţiind criptarea doar după ce au exfiltrat datele, o practică tot mai des întâlnită în rândul operatorilor de ransomware.

Forescout a legat grupul Mora_001 de LockBit, menţionând similarităţile dintre notele de răscumpărare folosite şi cele ale altor grupuri de ransomware, inclusiv ALPHV/BlackCat.