Des chercheurs en sécurité ont observé des pirates liés à la célèbre gang de verrouillage exploitant une paire de vulnérabilité de Fortwall pour déployer des ransomwares sur plusieurs réseaux d’entreprise.
Dans un report publié la semaine dernière, les chercheurs en sécurité de ForeStcout Research ont déclaré qu’un groupe qu’il suivait surnommé « Mora_001 » exploite les pare-feu Fortinet, qui se trouvent au bord du réseau d’une entreprise et agissent comme des gardiens numériques, pour interrompre et déployer une pression de rançon qu’ils appellent « Superblack ».
L’une des vulnérabilités, suivie sous le nom de CVE-2024-55591, a été exploitée dans les cyberattaques pour briser les réseaux d’entreprise des clients Fortinet Sincecember 2024. Forest dit qu’un deuxième bug, suivi en tant que CVE-2025-24472, est également en cours de Mora_001 dans les attaques. Fortinet a publié des correctifs pour les deux bugs en janvier.
Sai Molige, directeur principal de la chasse aux menaces à ForeScout, a déclaré à TechCrunch que la société de cybersécurité avait «enquêté sur trois événements dans différentes entreprises, mais nous pensons qu’il pourrait y en avoir d’autres».
Dans une intrusion confirmée, ForeScout a déclaré avoir observé l’attaque «sélectivement» de cryptage des serveurs de fichiers contenant des données sensibles.
« Le chiffrement n’a été initié qu’après l’exfiltration des données, s’alignant sur les tendances récentes parmi les opérateurs de ransomwares qui priorisent le vol de données sur les perturbations pures », a déclaré Molige.
ForeScount dit que l’acteur de menace MORA_001 «présente une signature opérationnelle distincte», qui, selon l’entreprise, a «des liens étroits» avec le gang de ransomware de lockbit, qui a été perturbé l’année dernière par les autorités américaines. Molige a déclaré que le ransomware superblack est basé sur le constructeur divulgué derrière les logiciels malveillants utilisés dans les attaques Lockbit 3.0, tandis qu’une note de rançon utilisée par MORA_001 comprend la même adresse de messagerie utilisée par Lockbit.
« Cette connexion qui indique que Mora_001 est un affilié actuel avec des méthodes opérationnelles uniques ou un groupe associé partageant des canaux de communication », a déclaré Molige.
Stefan Hostetler, responsable des renseignements sur les menaces de la société de cybersécurité Arctic Wolf, qui a précédemment observé le fonctionnement du CVE-2024-55591, indique à TechCrunch que les résultats de la prévision suggèrent que les pirates «vont après les organisations restantes qui n’ont pas pu les configurations de tout le pare-feu lorsque la vulnérabilité a été divulguée à l’origine. «
Hostetler dit que la note de rançon utilisée dans ces attaques présente des similitudes avec celles des autres groupes, telles que le gang de ransomware alphv / blackcat maintenant défond.
Fortinet n’a pas répondu aux questions de TechCrunch.
