Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Il nuovo operatore ransomware Mora_001, sfrutta gli exploit di authentication bypass di Fortinet

Luca Stivali : 18 Marzo 2025 06:57

Un nuovo operatore ransomware, noto con lo pseudonimo Mora_001, sta sfruttando due vulnerabilità critiche nei dispositivi Fortinet per ottenere accesso non autorizzato ai firewall aziendali e distribuire una nuova variante di ransomware chiamata SuperBlack.

Le due falle di sicurezza coinvolte, entrambe di tipo authentication bypass sono identificate come CVE-2024-55591 e CVE-2025-24472.

Fortinet ha divulgato la prima il 14 gennaio 2025, confermando che era stata attivamente sfruttata come zero-day sin da novembre 2024. La seconda vulnerabilità, inizialmente non segnalata come attivamente sfruttata, è stata poi collegata agli attacchi di SuperBlack scoperti dai ricercatori di Forescout a partire dal 2 febbraio 2025.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


L’attacco condotto da Mora_001 segue una catena d’azione altamente strutturata, che si ripete sistematicamente per ogni vittima:

  1. Acquisizione di privilegi amministrativi: sfruttando le vulnerabilità di Fortinet, l’attaccante ottiene i permessi di super_admin.
  2. Creazione di nuovi account amministrativi: vengono aggiunti utenti malevoli con nomi come forticloud-tech, fortigate-firewall e administrator.
  3. Persistenza: modificando le impostazioni di automazione, l’attaccante si assicura che gli account malevoli vengano ricreati anche se rimossi.
  4. Movimento laterale: una volta compromesso il firewall, l’attaccante utilizza credenziali VPN rubate e accessi tramite SSH e Windows Management Instrumentation (WMIC) per diffondersi nella rete.
  5. Fase di estorsione: prima di criptare i file, Mora_001 esfiltra dati sensibili utilizzando un tool custom, per poi minacciare la vittima con la pubblicazione delle informazioni rubate.
  6. Cifratura dei file e cancellazione delle tracce: dopo l’encryption, viene rilasciata una nota di riscatto e viene eseguito un tool chiamato *WipeBlack*, progettato per cancellare ogni traccia del ransomware e ostacolare l’analisi forense.

Connessioni con LockBit

Le analisi di Forescout suggeriscono che l’operazione ransomware SuperBlack potrebbe avere collegamenti con il gruppo LockBit, già noto per precedenti attacchi su larga scala.

Diversi elementi indicano questa connessione:

  • Il codice di SuperBlack sembra derivare dal builder di LockBit 3.0, trapelato in passato.
  • La nota di riscatto include un ID TOX precedentemente associato alle operazioni di LockBit.
  • Numerosi indirizzi IP coinvolti nell’attacco coincidono con quelli utilizzati in attacchi precedenti da LockBit.

Le aziende che utilizzano dispositivi Fortinet devono agire tempestivamente per proteggersi da questa minaccia.

Da un’analisi su ShadowServer risultano migliaia di dispostivi esposti vulnerabili. In Italia 363 dispostivi.

Si raccomanda di:

  • Applicare immediatamente le patch di sicurezza fornite da Fortinet per CVE-2024-55591 e CVE-2025-24472.
  • Monitorare attentamente gli accessi al firewall e verificare la presenza di account sospetti.
  • Analizzare i log di sistema per rilevare eventuali attività anomale, come tentativi di creazione di nuovi account o modifiche ai criteri di automazione.

La rapidità nell’adozione delle contromisure è cruciale per evitare di cadere vittima di attacchi ransomware come *SuperBlack*, che combinano strategie avanzate di attacco con una struttura altamente organizzata. Fortinet continua a monitorare la situazione e a fornire aggiornamenti per mitigare il rischio di nuove compromissioni.

Luca Stivali
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Lista degli articoli

Articoli in evidenza

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...

Nuovi attacchi all’Italia da NoName057(16) e una Infiltrazione nel sistema idrico ceco
Di Redazione RHC - 24/07/2025

“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...

XSS.IS messo a tacere! Dentro l’inchiesta che ha spento uno dei bazar più temuti del cyber‑crime
Di Luca Stivali - 24/07/2025

Immagina di aprire, come ogni sera, il bookmark del tuo forum preferito per scovare nuove varianti di stealer o l’ennesimo pacchetto di credenziali fresche di breach. Invece della solita bachec...

Firefox 141: rilasciato un aggiornamento critico di Sicurezza
Di Redazione RHC - 24/07/2025

Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilit&#...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006