\nOs pesquisadores de segurança observaram hackers ligados ao notório grupo LockBit explorando um par de vulnerabilidades no firewall da Fortinet para implantar ransomware em várias redes de empresas.
\nEm um relatório publicado na semana passada, os pesquisadores de segurança da Forescout Research disseram que um grupo que eles estão rastreando denominado 'Mora_001' está explorando os firewalls da Fortinet, que ficam na borda da rede de uma empresa e atuam como guardiões digitais, para invadir e implantar uma cepa de ransomware personalizada que chamam de 'SuperBlack'.
\nUma das vulnerabilidades, rastreada como CVE-2024-55591, tem sido explorada em ciberataques para invadir as redes corporativas de clientes da Fortinet desde dezembro de 2024. A Forescout diz que uma segunda falha, rastreada como CVE-2025-24472, também está sendo explorada pelo Mora_001 em ataques. A Fortinet lançou patches para ambas as falhas em janeiro.
\nSai Molige, gerente sênior de caça a ameaças da Forescout, disse ao TechCrunch que a empresa de cibersegurança "investigou três eventos em empresas diferentes, mas acreditamos que possa haver outros".
\nEm uma intrusão confirmada, a Forescout disse que observou o atacante criptografando "seletivamente" servidores de arquivos contendo dados sensíveis.
\n"A criptografia foi iniciada somente após a exfiltração de dados, alinhando-se com as tendências recentes entre os operadores de ransomware que priorizam o roubo de dados sobre a pura interrupção", disse Molige.
\nA Forescout diz que o ator de ameaça Mora_001 "exibe uma assinatura operacional distinta", que a empresa diz ter "estreitas ligações" com o grupo de ransomware LockBit, que foi interrompido no ano passado por autoridades dos EUA. Molige disse que o ransomware SuperBlack é baseado no construtor vazado por trás do malware usado nos ataques do LockBit 3.0, enquanto uma nota de resgate usada pelo Mora_001 inclui o mesmo endereço de mensagens usado pelo LockBit.
\n“Essa conexão poderia indicar que o Mora_001 é ou um afiliado atual com métodos operacionais únicos ou um grupo associado compartilhando canais de comunicação”, disse Molige.
\nStefan Hostetler, chefe de inteligência de ameaças da empresa de cibersegurança Arctic Wolf, que anteriormente observou a exploração do CVE-2024-55591, diz ao TechCrunch que as descobertas da Forescout sugerem que os hackers estão "indo atrás das organizações restantes que não conseguiram aplicar o patch ou fortalecer suas configurações de firewall quando a vulnerabilidade foi originalmente divulgada".
\nHostetler diz que a nota de resgate usada nesses ataques apresenta semelhanças com a de outros grupos, como o grupo de ransomware ALPHV/BlackCat, agora extinto.
\nA Fortinet não respondeu às perguntas do TechCrunch.
