Los investigadores de seguridad han observado a los piratas informáticos vinculados a la notoria pandilla Lockbit que explotan un par de vulnerabilidades de firewall de Fortinet para implementar ransomware en varias redes de empresas.
En Un informe publicado la semana pasadaLos investigadores de seguridad de ForesoS Research dijeron que un grupo que está rastreando denominado “Mora_001” está explotando los firewalls de Fortinet, que se encuentran al borde de la red de una empresa y actúan como guardianes digitales, para romper e implementar una cepa de ransomware personalizada que llaman “superblack”.
Una de las vulnerabilidades, rastreadas como CVE-2024-55591ha sido explotado en ataques cibernéticos para violar las redes corporativas de los clientes de Fortinet desde diciembre de 2024. Foresout dice un segundo error, rastreado como CVE-2025-24472también está siendo explotado por Mora_001 en ataques. Fortinet lanzó parches para ambos errores en enero.
Sai Molige, gerente senior de caza de amenazas en Foresout, le dijo a Learnmaart que la firma de ciberseguridad ha “investigado tres eventos en diferentes compañías, pero creemos que podría haber otros”.
En una intrusión confirmada, Foresout dijo que observó al atacante “selectivamente” los servidores de archivos que contenían datos confidenciales.
“El cifrado se inició solo después de la exfiltración de datos, alineándose con las tendencias recientes entre los operadores de ransomware que priorizan el robo de datos sobre la interrupción pura”, dijo Molige.
Foresout dice que el actor de amenaza de Mora_001 “exhibe una firma operativa distinta”, que según la firma tiene “vínculos cercanos” con la pandilla de ransomware Lockbit, que el año pasado fue interrumpido por las autoridades estadounidenses. Molige dijo que el ransomware superblack se basa en el constructor filtrado detrás del malware utilizado en los ataques Lockbit 3.0, mientras que una nota de rescate utilizada por Mora_001 incluye la misma dirección de mensajería utilizada por Lockbit.
“Esta conexión podría indicar que Mora_001 es un afiliado actual con métodos operativos únicos o un grupo asociado que comparte canales de comunicación”, dijo Molige.
Stefan Hostetler, jefe de inteligencia de amenazas en la firma de ciberseguridad Arctic Wolf, que Explotación previamente observada de CVE-2024-55591le dice a Learnmaart que los hallazgos de Foresout sugieren que los piratas informáticos “persiguen a las organizaciones restantes que no pudieron aplicar el parche o endurecer sus configuraciones de firewall cuando la vulnerabilidad se reveló originalmente”.
Hostetler dice que la nota de rescate utilizada en estos ataques tiene similitudes con la de otros grupos, como la ahora desaparecida pandilla de ransomware AlphV/BlackCat.
Fortinet no respondió a las preguntas de Learnmaart.