Un nuevo operador de ransomware llamado 'Mora_001' está explotando dos vulnerabilidades de Fortinet para obtener acceso no autorizado a dispositivos de firewall y desplegar una cepa de ransomware personalizada denominada SuperBlack.

Las dos vulnerabilidades, ambas consistentes en evadir la autenticación, son CVE-2024-55591 y CVE-2025-24472, que Fortinet divulgó en enero y febrero, respectivamente.

Cuando Fortinet reveló por primera vez CVE-2024-55591 el 14 de enero, confirmaron que había sido  explotado como un ataque de día cero y Arctic Wolf afirmó que se había utilizado en ataques desde noviembre de 2024 para violar los firewalls de FortiGate.

Para mayor confusión, el 11 de febrero, Fortinet añadió CVE-2025-2447 a su  aviso de enero , lo que llevó a muchos a creer que se trataba de una vulnerabilidad recientemente explotada. Sin embargo, Fortinet informó a BleepingComputer que este error también se corrigió en enero de 2024 y no fue explotado.

"No tenemos conocimiento de que CVE-2025-24472 haya sido explotado alguna vez", dijo Fortinet a BleepingComputer en ese momento.

Sin embargo, un nuevo informe de los investigadores de Forescout dice que descubrieron los ataques SuperBlack a fines de enero de 2025, y que el actor de amenazas utilizó CVE-2025-24472 ya el 2 de febrero de 2025.

"Si bien Forescout no informó directamente a Fortinet sobre la vulnerabilidad 24472, una de las organizaciones afectadas con las que trabajamos compartió los hallazgos de nuestra investigación con el equipo PSIRT de Fortinet", explicó Forescout a BleepingComputer.

Poco después, Fortinet actualizó su aviso el 11 de febrero para reconocer que CVE-2025-24472 estaba siendo explotada activamente.

BleepingComputer se puso en contacto con Fortinet para aclarar este punto, pero todavía estamos esperando una respuesta.

Ataques de ransomware SuperBlack

Forescout afirma que el operador del ransomware Mora_001 sigue una cadena de ataque altamente estructurada que no varía mucho entre las víctimas.

En primer lugar, el atacante obtiene privilegios 'super_admin' explotando las dos fallas de Fortinet utilizando ataques basados ​​en WebSocket a través de la interfaz jsconsole o enviando solicitudes HTTPS directas a interfaces de firewall expuestas.

A continuación, crean nuevas cuentas de administrador (forticloud-tech, fortigate-firewall, administrator) y modifican las tareas de automatización para recrearlas si se eliminan.

Después de esto, el atacante mapea la red e intenta un movimiento lateral usando credenciales VPN robadas y cuentas VPN recientemente agregadas, Instrumental de administración de Windows (WMIC) y SSH, y autenticación TACACS+/RADIUS.

Mora_001 roba datos utilizando una herramienta personalizada antes de cifrar los archivos para una doble extorsión, priorizando los servidores de archivos y bases de datos y los controladores de dominio.

Tras el proceso de cifrado, se envían notas de rescate al sistema de la víctima. A continuación, se implementa un limpiador personalizado llamado "WipeBlack" para eliminar cualquier rastro del ejecutable del ransomware y dificultar el análisis forense.

Enlace de SuperBlack a LockBit

Forescout ha encontrado amplia evidencia que indica fuertes vínculos entre la operación del ransomware SuperBlack y el ransomware LockBit, aunque el primero parece actuar de forma independiente.

El primer elemento es que el cifrador SuperBlack [ VirusTotal ] se basa en el constructor filtrado de LockBit 3.0, que presenta una estructura de carga útil y métodos de cifrado idénticos, pero conservará toda la marca original.

En segundo lugar, la nota de rescate de SuperBlack incluye un ID de chat TOX vinculado a las operaciones de LockBit, lo que sugiere que Mora_001 es un ex afiliado de LockBit o un ex miembro de su equipo central que gestiona los pagos y las negociaciones de rescates.

El tercer elemento que sugiere un vínculo es la amplia superposición de direcciones IP con operaciones anteriores de LockBit. Además, WipeBlack también ha sido utilizado por los ransomware BrainCipher, EstateRansomware y SenSayQ, todos vinculados a LockBit.

Forescout ha compartido una extensa lista de indicadores de compromiso (IoC) vinculados a los ataques del ransomware SuperBlack en la parte inferior de su informe.

Fuente: https://www.bleepingcomputer.com/news/security/new-superblack-ransomware-exploits-fortinet-auth-bypass-flaws/