Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
970x120
320x100 Itcentric
Il nuovo operatore ransomware Mora_001, sfrutta gli exploit di authentication bypass di Fortinet

Il nuovo operatore ransomware Mora_001, sfrutta gli exploit di authentication bypass di Fortinet

Luca Stivali : 18 Marzo 2025 06:57

Un nuovo operatore ransomware, noto con lo pseudonimo Mora_001, sta sfruttando due vulnerabilità critiche nei dispositivi Fortinet per ottenere accesso non autorizzato ai firewall aziendali e distribuire una nuova variante di ransomware chiamata SuperBlack.

Le due falle di sicurezza coinvolte, entrambe di tipo authentication bypass sono identificate come CVE-2024-55591 e CVE-2025-24472.

Fortinet ha divulgato la prima il 14 gennaio 2025, confermando che era stata attivamente sfruttata come zero-day sin da novembre 2024. La seconda vulnerabilità, inizialmente non segnalata come attivamente sfruttata, è stata poi collegata agli attacchi di SuperBlack scoperti dai ricercatori di Forescout a partire dal 2 febbraio 2025.


Nuovo Fumetto Betti

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? 
Conosci il nostro corso sul cybersecurity awareness a fumetti? 
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. 
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’attacco condotto da Mora_001 segue una catena d’azione altamente strutturata, che si ripete sistematicamente per ogni vittima:

  1. Acquisizione di privilegi amministrativi: sfruttando le vulnerabilità di Fortinet, l’attaccante ottiene i permessi di super_admin.
  2. Creazione di nuovi account amministrativi: vengono aggiunti utenti malevoli con nomi come forticloud-tech, fortigate-firewall e administrator.
  3. Persistenza: modificando le impostazioni di automazione, l’attaccante si assicura che gli account malevoli vengano ricreati anche se rimossi.
  4. Movimento laterale: una volta compromesso il firewall, l’attaccante utilizza credenziali VPN rubate e accessi tramite SSH e Windows Management Instrumentation (WMIC) per diffondersi nella rete.
  5. Fase di estorsione: prima di criptare i file, Mora_001 esfiltra dati sensibili utilizzando un tool custom, per poi minacciare la vittima con la pubblicazione delle informazioni rubate.
  6. Cifratura dei file e cancellazione delle tracce: dopo l’encryption, viene rilasciata una nota di riscatto e viene eseguito un tool chiamato *WipeBlack*, progettato per cancellare ogni traccia del ransomware e ostacolare l’analisi forense.

Connessioni con LockBit

Le analisi di Forescout suggeriscono che l’operazione ransomware SuperBlack potrebbe avere collegamenti con il gruppo LockBit, già noto per precedenti attacchi su larga scala.

Diversi elementi indicano questa connessione:

  • Il codice di SuperBlack sembra derivare dal builder di LockBit 3.0, trapelato in passato.
  • La nota di riscatto include un ID TOX precedentemente associato alle operazioni di LockBit.
  • Numerosi indirizzi IP coinvolti nell’attacco coincidono con quelli utilizzati in attacchi precedenti da LockBit.

Le aziende che utilizzano dispositivi Fortinet devono agire tempestivamente per proteggersi da questa minaccia.

Da un’analisi su ShadowServer risultano migliaia di dispostivi esposti vulnerabili. In Italia 363 dispostivi.

Si raccomanda di:

  • Applicare immediatamente le patch di sicurezza fornite da Fortinet per CVE-2024-55591 e CVE-2025-24472.
  • Monitorare attentamente gli accessi al firewall e verificare la presenza di account sospetti.
  • Analizzare i log di sistema per rilevare eventuali attività anomale, come tentativi di creazione di nuovi account o modifiche ai criteri di automazione.

La rapidità nell’adozione delle contromisure è cruciale per evitare di cadere vittima di attacchi ransomware come *SuperBlack*, che combinano strategie avanzate di attacco con una struttura altamente organizzata. Fortinet continua a monitorare la situazione e a fornire aggiornamenti per mitigare il rischio di nuove compromissioni.

Immagine del sitoLuca Stivali
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Il “Double Bind” porta al Jailbreak di GPT-5: L’AI che è stata convinta di essere schizofrenica
Di Luca Vinciguerra - 15/10/2025

Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...

Immagine del sito
Microsoft Patch Tuesday col botto! 175 bug corretti e due zero-day sfruttati
Di Redazione RHC - 14/10/2025

Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...

Immagine del sito
Internet Explorer è “morto”, ma continua a infettare con i suoi bug i PC tramite Edge
Di Luca Galuppi - 14/10/2025

Nonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, pr...

Immagine del sito
Jeff Bezos all’Italian Tech Week: “Milioni di persone vivranno nello spazio”
Di Carlo Denza - 14/10/2025

Datacenter nello spazio, lander lunari, missioni marziane: il futuro disegnato da Bezos a Torino. Ma la vera rivelazione è l’aneddoto del nonno che ne svela il profilo umano Anche quest’anno Tori...

Immagine del sito
WhatsApp Web nel mirino! Come funziona il worm che distribuisce il Trojan Bancario
Di Redazione RHC - 14/10/2025

E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere...