Các nhà nghiên cứu bảo mật đã quan sát thấy các hacker liên kết với băng nhóm LockBit nổi tiếng đang lợi dụng một cặp lỗ hổng của tường lửa Fortinet để triển khai ransomware trên một số mạng công ty.
Trong một báo cáo được công bố vào tuần trước, các nhà nghiên cứu bảo mật tại Forescout Research cho biết một nhóm mà họ đang theo dõi có tên là “Mora_001” đang lợi dụng các tường lửa Fortinet, được đặt ở mép mạng của một công ty và đóng vai trò là những người bảo vệ kỹ thuật số, để đột nhập và triển khai một chủng ransomware tùy chỉnh mà họ gọi là “SuperBlack.”
Một trong những lỗ hổng, được theo dõi với mã CVE-2024-55591, đã bị lợi dụng trong các cuộc tấn công mạng của các khách hàng Fortinet từ tháng 12 năm 2024. Forescout nói rằng một lỗi thứ hai, được theo dõi với mã CVE-2025-24472, cũng đang được nhóm Mora_001 lợi dụng trong các cuộc tấn công. Fortinet đã phát hành các bản vá cho cả hai lỗi vào tháng 1 năm nay.
Sai Molige, quản lý cấp cao của mảng săn lùng mối đe dọa tại Forescout, nói với TechCrunch rằng công ty bảo mật này đã “điều tra ba sự kiện ở các công ty khác nhau, nhưng chúng tôi tin rằng có thể có những trường hợp khác.”
Trong một cuộc xâm nhập được xác nhận, Forescout cho biết họ quan sát thấy kẻ tấn công “lựa chọn” mã hóa máy chủ tập tin chứa dữ liệu nhạy cảm.
“Việc mã hóa được khởi đầu chỉ sau khi dữ liệu được rút ra, điều này làm cho nó phù hợp với xu hướng gần đây của các nhà khủng bố ransomware ưu tiên trộm dữ liệu hơn là tạo ra sự gián đoạn sạch,” Molige cho biết.
Forescout nói rằng tên lửa đe doa Mora_001 “cho thấy một chữ ký vận hành đáng chú ý,” mà công ty nói rằng có “mối liên kết chặt chẽ” với nhóm ransomware LockBit, mà năm ngoái đã bị các cơ quan Mỹ làm phá vỡ. Molige cho biết ransomware SuperBlack dựa trên mã nguồn máy xây dựng rò rỉ phía sau malware được sử dụng trong các cuộc tấn công LockBit 3.0, trong khi đoạn lưu ý chuộc tiền mà Mora_001 sử dụng bao gồm cùng một địa chỉ thông điệp được sử dụng bởi LockBit.
“Mối liên kết này có thể chỉ ra rằng Mora_001 đang là một cộng tác viên hiện tại với phương pháp vận hành độc đáo hoặc là một nhóm liên kết chia sẻ kênh liên lạc,” Molige nói.
Stefan Hostetler, trưởng nhóm tình báo đe dọa của công ty bảo mật Arctic Wolf, mà trước đây đã quan sát sự lợi dụng của CVE-2024-55591, cho biết với TechCrunch rằng những phát hiện của Forescout cho thấy các hacker đang “tấn công vào những tổ chức còn lại không thể áp dụng bản vá hoặc làm cứng cấu hình tường lửa của họ khi lỗ hổng được tiết lộ ban đầu.”
Hostetler nói đoạn lưu ý chuộc tiền được sử dụng trong những cuộc tấn công này có nhiều điểm giống nhau với các nhóm khác, như nhóm ransomware ALPHV/BlackCat đã tan rã.
Fortinet không trả lời câu hỏi từ TechCrunch.
