Источник изображения: Sebastiaan Stam / Unsplash
Хакеры, связанные с печально известной группировкой LockBit, стали использовать уязвимости в брандмауэрах Fortinet для внедрения программ-вымогателей в корпоративные сети. Об этом сообщил TechCrunch со ссылкой на исследователей кибербезопасности из Forescout Research. Группа хакеров Mora_001, эксплуатирует бреши в защите Fortinet, чтобы проникать в сети компаний и устанавливать вредоносное ПО под названием «SuperBlack».
Две уязвимости, обозначенные как CVE-2024-55591 и CVE-2025-24472, активно используются хакерами с декабря 2024 года. Первая из них применялась для взлома корпоративных сетей клиентов Fortinet, а вторая также была задействована в атаках группы Mora_001. Компания Fortinet выпустила исправления для обеих уязвимостей в январе, однако не все организации успели их установить.
Сай Молиге (Sai Molige), старший менеджер по исследованиям за угрозами в Forescout, заявил, что компания расследовала три инцидента в разных организациях, но предполагает, что таких случаев может быть больше. «Мы расследовали три ситуации в разных компаниях, но считаем, что их может быть больше», — отметил Молиге.
В одном из подтвержденных случаев взлома исследователи наблюдали, как злоумышленники выборочно шифровали файловые серверы с конфиденциальными данными. По словам Молиге, шифрование начиналось только после кражи данных, что соответствует современным трендам среди операторов ransomware, которые предпочитают воровство данных простому нарушению работы систем.
Группа Mora_001, по словам экспертов, имеет «уникальную операционную сигнатуру» и имеет тесные связи с группировкой LockBit, которая была частично обезврежена властями США в прошлом году. Молиге пояснил, что программа-вымогатель SuperBlack основана на утечках кода, использовавшегося в атаках LockBit 3.0, а в сообщениях вымогателей указан тот же адрес для связи, что и у LockBit.
«Эта связь может указывать на то, что Mora_001 является либо текущим аффилированным лицом с уникальными методами работы, либо связанной группой, использующей общие каналы связи», — добавил Молиге. У свою очередь Стефан Хостетлер (Stefan Hostetler), глава отдела анализа угроз в компании Arctic Wolf, отметил, что хакеры нацеливаются на организации, которые не успели установить обновления или усилить конфигурации брандмауэров. «Они атакуют оставшиеся организации, которые не смогли применить патч или усилить настройки брандмауэров, когда уязвимость была впервые раскрыта», — сказал Хостетлер.
Он также обратил внимание на сходство сообщений вымогателей с теми, что использовались другими группами, например, уже неактивной ALPHV/BlackCat. Fortinet на момент публикации не ответила на запросы TechCrunch относительно инцидентов.
