Investigadores de seguridad han observado a hackers vinculados a la famosa pandilla de LockBit aprovechando un par de vulnerabilidades en los firewalls de Fortinet para desplegar ransomware en varias redes de empresas.
En un informe publicado la semana pasada, investigadores de seguridad de Forescout Research dijeron que un grupo al que están siguiendo, denominado «Mora_001», está explotando los firewalls de Fortinet, que se sitúan en el borde de la red de una empresa y actúan como guardianes digitales, para infiltrarse y desplegar una cepa personalizada de ransomware que llaman «SuperBlack».
Una de las vulnerabilidades, identificada como CVE-2024-55591, ha sido aprovechada en ciberataques para violar las redes corporativas de clientes de Fortinet desde diciembre de 2024. Forescout dice que un segundo error, rastreado como CVE-2025-24472, también está siendo explotado por Mora_001 en los ataques. Fortinet lanzó parches para ambos errores en enero.
Sai Molige, gerente senior de caza de amenazas en Forescout, dijo a TechCrunch que la firma de ciberseguridad ha «investigado tres eventos en diferentes empresas, pero creemos que podría haber otros».
En una intrusión confirmada, Forescout dijo que observó al atacante «selectivamente» cifrando servidores de archivos que contenían datos sensibles.
«La encriptación se inició solo después de la exfiltración de datos, alineándose con las tendencias recientes entre los operadores de ransomware que priorizan el robo de datos sobre la pura interrupción», dijo Molige.
Forescout dice que el actor de amenazas Mora_001 «exhibe una firma operativa distintiva», lo que la firma dice que tiene «estrechos lazos» con la pandilla de ransomware LockBit, que fue interrumpida el año pasado por las autoridades de EE. UU. Molige dijo que el ransomware SuperBlack está basado en el constructor filtrado detrás del malware utilizado en los ataques de LockBit 3.0, mientras que una nota de rescate utilizada por Mora_001 incluye la misma dirección de mensajería utilizada por LockBit.
«Esta conexión podría indicar que Mora_001 es o bien un afiliado actual con métodos operativos únicos o un grupo asociado que comparte canales de comunicación», dijo Molige.
Stefan Hostetler, jefe de inteligencia de amenazas en la firma de ciberseguridad Arctic Wolf, que anteriormente observó la explotación de CVE-2024-55591, dice a TechCrunch que los hallazgos de Forescout sugieren que los hackers «están yendo tras las organizaciones restantes que no pudieron aplicar el parche o endurecer sus configuraciones de firewall cuando se reveló la vulnerabilidad originalmente».
Hostetler dice que la nota de rescate utilizada en estos ataques tiene similitudes con la de otros grupos, como la pandilla de ransomware ALPHV/BlackCat, ahora extinta.
Fortinet no respondió a las preguntas de TechCrunch.
