Il nuovo operatore ransomware Mora_001, sfrutta gli exploit di authentication bypass di Fortinet

Luca Stivali : 18 Marzo 2025 06:57

Un nuovo operatore ransomware, noto con lo pseudonimo Mora_001, sta sfruttando due vulnerabilità critiche nei dispositivi Fortinet per ottenere accesso non autorizzato ai firewall aziendali e distribuire una nuova variante di ransomware chiamata SuperBlack.

Le due falle di sicurezza coinvolte, entrambe di tipo authentication bypass sono identificate come CVE-2024-55591 e CVE-2025-24472.

Fortinet ha divulgato la prima il 14 gennaio 2025, confermando che era stata attivamente sfruttata come zero-day sin da novembre 2024. La seconda vulnerabilità, inizialmente non segnalata come attivamente sfruttata, è stata poi collegata agli attacchi di SuperBlack scoperti dai ricercatori di Forescout a partire dal 2 febbraio 2025.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’attacco condotto da Mora_001 segue una catena d’azione altamente strutturata, che si ripete sistematicamente per ogni vittima:

1. Acquisizione di privilegi amministrativi: sfruttando le vulnerabilità di Fortinet, l’attaccante ottiene i permessi di super_admin.
2. Creazione di nuovi account amministrativi: vengono aggiunti utenti malevoli con nomi come forticloud-tech, fortigate-firewall e administrator.
3. Persistenza: modificando le impostazioni di automazione, l’attaccante si assicura che gli account malevoli vengano ricreati anche se rimossi.
4. Movimento laterale: una volta compromesso il firewall, l’attaccante utilizza credenziali VPN rubate e accessi tramite SSH e Windows Management Instrumentation (WMIC) per diffondersi nella rete.
5. Fase di estorsione: prima di criptare i file, Mora_001 esfiltra dati sensibili utilizzando un tool custom, per poi minacciare la vittima con la pubblicazione delle informazioni rubate.
6. Cifratura dei file e cancellazione delle tracce: dopo l’encryption, viene rilasciata una nota di riscatto e viene eseguito un tool chiamato *WipeBlack*, progettato per cancellare ogni traccia del ransomware e ostacolare l’analisi forense.

Connessioni con LockBit

Le analisi di Forescout suggeriscono che l’operazione ransomware SuperBlack potrebbe avere collegamenti con il gruppo LockBit, già noto per precedenti attacchi su larga scala.

Diversi elementi indicano questa connessione:

• Il codice di SuperBlack sembra derivare dal builder di LockBit 3.0, trapelato in passato.
• La nota di riscatto include un ID TOX precedentemente associato alle operazioni di LockBit.
• Numerosi indirizzi IP coinvolti nell’attacco coincidono con quelli utilizzati in attacchi precedenti da LockBit.

Le aziende che utilizzano dispositivi Fortinet devono agire tempestivamente per proteggersi da questa minaccia.

Da un’analisi su ShadowServer risultano migliaia di dispostivi esposti vulnerabili. In Italia 363 dispostivi.

Si raccomanda di:

• Applicare immediatamente le patch di sicurezza fornite da Fortinet per CVE-2024-55591 e CVE-2025-24472.
• Monitorare attentamente gli accessi al firewall e verificare la presenza di account sospetti.
• Analizzare i log di sistema per rilevare eventuali attività anomale, come tentativi di creazione di nuovi account o modifiche ai criteri di automazione.

La rapidità nell’adozione delle contromisure è cruciale per evitare di cadere vittima di attacchi ransomware come *SuperBlack*, che combinano strategie avanzate di attacco con una struttura altamente organizzata. Fortinet continua a monitorare la situazione e a fornire aggiornamenti per mitigare il rischio di nuove compromissioni.

Luca Stivali
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Lista degli articoli