Un nuevo grupo de ransomware, identificado como Mora_001, está explotando dos vulnerabilidades críticas en dispositivos Fortinet, según informes de expertos en ciberseguridad. Las fallas, registradas como CVE-2024-55591 y CVE-2025-24472, permiten el acceso no autorizado y comprometen la seguridad de las redes afectadas.
Fuente: http://www.forescout.com
Investigadores de Forescout han analizado la cadena de ataque utilizada por Mora_001, que sigue un patrón estructurado: acceso no autorizado, escalada de privilegios, persistencia, movimiento lateral, infiltración de datos y, finalmente, despliegue del ransomware con cifrado y robo de archivos para extorsionar a las víctimas.
Aunque comparte similitudes con LockBit 3.0 (LockBit Black), se han identificado dos diferencias clave: una nota de rescate modificada sin referencias a LockBit y una nueva herramienta de exfiltración de datos. Estas particularidades llevaron a los analistas a denominar la variante como SuperBlack.
Fuente: http://www.forescout.com
Según Forescout Research, Mora_001 habría utilizado el generador filtrado de LockBit 3.0 en 2022, adaptándolo a sus propios fines.
Las medidas de mitigación propuestas por Forescout son:
- Aplicar de inmediato los parches de Fortinet para las vulnerabilidades CVE-2024-55591 y CVE-2025-24472.
- Restringir el acceso de gestión.
- Auditar cuentas de administrador.
- Examinar la configuración de automatización.
- Revisar usuarios de VPN.
- Habilitar el registro completo.
Fuente
https://therecord.media/mora001-ransomware-gang-exploiting-vulnerability-lockbit
https://www.forescout.com/blog/new-ransomware-operator-exploits-fortinet-vulnerability-duo/
Ciberprisma - alianza por la ciberseguridad 