Hacker nutzen Fortinet Firewall -Fehler, um Ransomware zu pflanzen

Sicherheitsforscher haben Hacker beobachtet, die mit der berüchtigten Lockbit -Bande verbunden sind, die ein Paar Fortinet -Firewall -Schwachstellen ausnutzte, um Ransomware in mehreren Unternehmensnetzwerken bereitzustellen.

In Ein Bericht, der letzte Woche veröffentlicht wurdeSicherheitsforscher von Forscout Research sagten, dass eine Gruppe, die als „Mora_001“ bezeichnet wird, die Fortinet -Firewalls ausnutzt, die am Rande des Netzwerks eines Unternehmens sitzen und als digitale Gatekeeper fungieren, um eine benutzerdefinierte Ransomware -Belastung als „Superblack“ einzubrechen und bereitzustellen.

Eine der Schwachstellen, verfolgt als CVE-2024-55591wurde seit Dezember 2024 in Cyberangriffen ausgebeutet CVE-2025-24472wird auch von Mora_001 in Angriffen ausgenutzt. Fortinet veröffentlichte im Januar Patches für beide Fehler.

Sai Molige, Senior Manager von Threat Hunting bei Forscout, sagte gegenüber Tech, dass das Cybersicherheitsunternehmen „drei Veranstaltungen in verschiedenen Unternehmen untersucht habe, aber wir glauben, dass es andere geben könnte“.

In einem bestätigten Eindringen beobachtete Forescout, dass der Angreifer „selektiv“ Dateiserver, die sensible Daten enthalten, „selektiv“ verschlüsselt.

„Die Verschlüsselung wurde erst nach Datenpeelung eingeleitet, wobei die jüngsten Trends bei Ransomware -Operatoren ausgerichtet waren, die den Datendiebstahl vor reinen Störungen priorisieren“, sagte Molige.

Laut Forenscout zeigt der Mora_001 -Bedrohungsschauspieler „eine eigenständige operative Signatur“, die laut dem Unternehmen „enge Beziehungen“ zur Lockbit -Ransomware -Bande hat, die letztes Jahr von den US -Behörden gestört wurde. Laut Molige basiert die Superblack -Ransomware auf dem durchgesickerten Bauunternehmer hinter der Malware, die in Lockbit 3.0 -Angriffen verwendet wird, während ein von Mora_001 verwendeter Ransom -Note dieselbe von Lockbit verwendete Messaging -Adresse enthält.

„Diese Verbindung könnte darauf hinweisen, dass Mora_001 entweder ein aktueller Partner mit einzigartigen operativen Methoden oder einer gemeinsamen Kommunikationskanäle der Associate Group ist“, sagte Molige.

Stefan Hostetler, Leiter der Bedrohungsintelligenz bei der Cybersecurity -Firma Arctic Wolf, die zuvor beobachtete Ausbeutung von CVE-2024-55591sagt Tech, dass die Ergebnisse von Forencout darauf hindeuten, dass Hacker „nach den verbleibenden Organisationen nachgehen, die den Patch nicht anwenden oder ihre Firewall -Konfigurationen, wenn die Verwundbarkeit ursprünglich offengelegt wurde, nicht anwenden oder verhärten konnten“.

Laut Hostetler hat die in diesen Angriffen verwendete Ransom-Note Ähnlichkeiten mit der anderer Gruppen, wie der inzwischen nicht mehr aufgelegten Alphv/Blackcat-Ransomware-Gang.

Fortinet antwortete nicht auf die Fragen von Tech.

tch-1-tech