Blog Foco em SEC

As últimas notícias e tendências em cibersegurança, hacking ético e investigação digital.

Blog

Novo ransomware SuperBlack explora falhas de autenticação da Fortinet

By Antonio Dias
novo-ransomware-superblack-explora-falhas-de-autenticacao-da-fortinet
novo-ransomware-superblack-explora-falhas-de-autenticacao-da-fortinet

Você sabia que um novo operador de ransomware chamado Mora_001 está causando estragos? Esse grupo está aproveitando duas vulnerabilidades da Fortinet para invadir sistemas e espalhar um ransomware chamado SuperBlack. O mais preocupante é que eles usam métodos bem estruturados para realizar seus ataques. Neste artigo, vamos explorar como Mora_001 age, quais são essas vulnerabilidades, e o que você precisa saber para proteger seus sistemas.

  • Um novo grupo de ransomware chamado Mora_001 está usando falhas da Fortinet.
  • As falhas são chamadas CVE-2024-55591 e CVE-2025-24472.
  • O ransomware usado é chamado SuperBlack e pode roubar dados.
  • O Mora_001 tem ligação com o grupo de ransomware LockBit.
  • Os ataques usam uma ferramenta chamada WipeBlack para apagar pistas.

O Que Você Precisa Saber Sobre o Ransomware Mora_001

O Que Você Precisa Saber Sobre o Ransomware Mora_001

Introdução ao Mora_001

Você já ouviu falar do Mora_001? Esse novo operador de ransomware está causando alvoroço no mundo da segurança cibernética. Ele utiliza vulnerabilidades em dispositivos Fortinet para obter acesso não autorizado e implantar o ransomware SuperBlack. É um assunto sério e você deve entender como isso pode afetar você ou sua empresa.

O Que São as Vulnerabilidades?

As vulnerabilidades que o Mora_001 está explorando são CVE-2024-55591 e CVE-2025-24472. Ambas são falhas de bypass de autenticação, permitindo que o atacante ignore medidas de segurança que normalmente impediriam o acesso não autorizado. A Fortinet divulgou essas falhas em janeiro e fevereiro de 2024.

A Confusão com as Datas

Quando a Fortinet anunciou a CVE-2024-55591 em 14 de janeiro, confirmaram que essa falha já estava sendo explorada como um zero-day, ou seja, os hackers estavam atacando antes mesmo de a empresa ter uma solução. Um grupo chamado Arctic Wolf mencionou que essa falha estava sendo usada em ataques desde novembro de 2024.

Em 11 de fevereiro, a Fortinet adicionou a CVE-2025-24472 ao seu aviso de janeiro, levando muitos a acreditarem que se tratava de uma nova falha. Contudo, a Fortinet assegurou que essa falha já havia sido corrigida em janeiro e que não tinha sido explorada. Eles afirmaram não ter conhecimento de que a CVE-2025-24472 havia sido usada em ataques.

O Que a Forescout Descobriu?

Pesquisadores da Forescout relataram que descobriram os ataques do SuperBlack no final de janeiro de 2025. Eles afirmaram que o Mora_001 estava utilizando a CVE-2025-24472 a partir de 2 de fevereiro de 2025. A Forescout explicou que, embora não tenham reportado diretamente a exploração da CVE-2025-24472 para a Fortinet, estavam colaborando com uma das organizações afetadas, que compartilhou descobertas com a equipe de resposta a incidentes da Fortinet.

Como Funciona o Ataque do Mora_001?

Agora que você já sabe sobre as vulnerabilidades, vamos falar sobre como o Mora_001 realiza seus ataques. O processo é bastante estruturado e não muda muito de uma vítima para outra. Aqui está um resumo do que acontece:

  • Ganho de Privilégios: O atacante explora as falhas da Fortinet para obter privilégios de super_admin através de ataques baseados em WebSocket ou enviando solicitações HTTPS diretas para interfaces de firewall expostas.
  • Criação de Novas Contas: Após obter acesso, o Mora_001 cria novas contas de administrador, como forticloud-tech, fortigate-firewall e administrator. Ele também modifica tarefas de automação para recriar essas contas se forem removidas.
  • Mapeamento da Rede: O próximo passo é mapear a rede e tentar se mover lateralmente, utilizando credenciais de VPN roubadas e as novas contas de VPN criadas. Eles usam ferramentas como WMIC e SSH para conseguir acesso.
  • Roubo de Dados: Antes de criptografar os arquivos, o atacante rouba dados utilizando uma ferramenta personalizada, priorizando servidores de arquivos, servidores de banco de dados e controladores de domínio.
  • Criptografia e Extorsão: Após o roubo de dados, os arquivos são criptografados para extorsão dupla, ou seja, além de pedir um resgate, eles ameaçam as vítimas com os dados roubados.
  • Notas de Resgate: Após a criptografia, notas de resgate são deixadas nos sistemas das vítimas.
  • Destruição de Evidências: Um software chamado WipeBlack é implantado para remover todos os vestígios do ransomware, dificultando a análise forense.

Conexões com o LockBit

Um ponto interessante é que a Forescout encontrou evidências que ligam a operação do SuperBlack ao ransomware LockBit. Embora o Mora_001 pareça agir de forma independente, há algumas similaridades:

  • O encryptor do SuperBlack é baseado no LockBit 3.0, com uma estrutura de carga e métodos de criptografia idênticos, mas sem a marca original.
  • A nota de resgate do SuperBlack inclui um ID de chat TOX associado a operações do LockBit, sugerindo que o Mora_001 pode ser um ex-afiliado ou membro da equipe principal do LockBit.
  • Além disso, há uma sobreposição significativa de endereços IP com operações anteriores do LockBit.
  • O WipeBlack também foi usado por outros ransomwares como BrainCipher, EstateRansomware e SenSayQ, todos ligados ao LockBit.

O Que Fazer Agora?

Se você está preocupado em ser uma vítima do Mora_001 ou de qualquer outro ransomware, aqui estão algumas dicas que podem ajudar:

  • Atualize Seus Sistemas: Mantenha sempre seus sistemas operacionais e softwares atualizados. As atualizações incluem correções de segurança para vulnerabilidades conhecidas.
  • Use Senhas Fortes: Crie senhas fortes e únicas para suas contas. Considere usar um gerenciador de senhas para manter tudo seguro.
  • Faça Backup Regularmente: Ter backups regulares de seus dados pode salvar sua pele em caso de um ataque. Certifique-se de que os backups estão armazenados em um local seguro e desconectado da rede principal.
  • Eduque Sua Equipe: Se você trabalha em uma empresa, é vital educar sua equipe sobre os riscos de segurança cibernética e como reconhecer tentativas de phishing.
  • Monitore Sua Rede: Utilize ferramentas de monitoramento de rede para detectar atividades suspeitas. A detecção precoce pode fazer toda a diferença.

Conclusão

Em resumo, o Mora_001 está chamando a atenção no cenário de segurança cibernética. Com suas táticas bem elaboradas e o uso de vulnerabilidades da Fortinet, esse grupo de ransomware mostra que a proteção dos seus sistemas não é apenas uma opção, mas uma necessidade. Não deixe para depois! Atualize seus sistemas, use senhas fortes, faça backups regulares e mantenha sua equipe informada. A prevenção é sempre o melhor remédio.

Se você deseja se aprofundar ainda mais nesse tema e ficar por dentro de tudo que acontece no mundo da segurança cibernética, não hesite em visitar o nosso blog em blog.focoemsec.com. Afinal, informação é poder!

By Antonio Dias

Related Post

Blog

Crescimento das fraudes por SMS rouba centenas de milhões de dólares dos cidadãos dos EUA

Antonio Dias
Blog

Apple lança atualização para corrigir falhas de segurança no iOS e iPadOS; atualize agora!

Antonio Dias
Blog

Metade do tráfego da internet agora é automatizado, dizem especialistas

Antonio Dias

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

You Missed

Blog

Crescimento das fraudes por SMS rouba centenas de milhões de dólares dos cidadãos dos EUA

Blog

Apple lança atualização para corrigir falhas de segurança no iOS e iPadOS; atualize agora!

Blog

Metade do tráfego da internet agora é automatizado, dizem especialistas

Blog

Cuidado! Golpistas prometem $500 em troca de seguir links de falsas exchanges de criptomoedas