Il nuovo operatore ransomware Mora_001, sfrutta gli exploit di authentication bypass di Fortinet

Un nuovo operatore ransomware, noto con lo pseudonimo Mora_001, sta sfruttando due vulnerabilità critiche nei dispositivi Fortinet per ottenere accesso non autorizzato ai firewall aziendali e distribuire una nuova variante di ransomware chiamata SuperBlack.

Le due falle di sicurezza coinvolte, entrambe di tipo authentication bypass sono identificate come CVE-2024-55591 e CVE-2025-24472.

Fortinet ha divulgato la prima il 14 gennaio 2025, confermando che era stata attivamente sfruttata come zero-day sin da novembre 2024. La seconda vulnerabilità, inizialmente non segnalata come attivamente sfruttata, è stata poi collegata agli attacchi di SuperBlack scoperti dai ricercatori di Forescout a partire dal 2 febbraio 2025.

L’attacco condotto da Mora_001 segue una catena d’azione altamente strutturata, che si ripete sistematicamente per ogni vittima:

1. Acquisizione di privilegi amministrativi: sfruttando le vulnerabilità di Fortinet, l’attaccante ottiene i permessi di super_admin.
2. Creazione di nuovi account amministrativi: vengono aggiunti utenti malevoli con nomi come forticloud-tech, fortigate-firewall e administrator.
3. Persistenza: modificando le impostazioni di automazione, l’attaccante si assicura che gli account malevoli vengano ricreati anche se rimossi.
4. Movimento laterale: una volta compromesso il firewall, l’attaccante utilizza credenziali VPN rubate e accessi tramite SSH e Windows Management Instrumentation (WMIC) per diffondersi nella rete.
5. Fase di estorsione: prima di criptare i file, Mora_001 esfiltra dati sensibili utilizzando un tool custom, per poi minacciare la vittima con la pubblicazione delle informazioni rubate.
6. Cifratura dei file e cancellazione delle tracce: dopo l’encryption, viene rilasciata una nota di riscatto e viene eseguito un tool chiamato *WipeBlack*, progettato per cancellare ogni traccia del ransomware e ostacolare l’analisi forense.

Connessioni con LockBit

Le analisi di Forescout suggeriscono che l’operazione ransomware SuperBlack potrebbe avere collegamenti con il gruppo LockBit, già noto per precedenti attacchi su larga scala.

Diversi elementi indicano questa connessione:

• Il codice di SuperBlack sembra derivare dal builder di LockBit 3.0, trapelato in passato.
• La nota di riscatto include un ID TOX precedentemente associato alle operazioni di LockBit.
• Numerosi indirizzi IP coinvolti nell’attacco coincidono con quelli utilizzati in attacchi precedenti da LockBit.

Le aziende che utilizzano dispositivi Fortinet devono agire tempestivamente per proteggersi da questa minaccia.

Da un’analisi su ShadowServer risultano migliaia di dispostivi esposti vulnerabili. In Italia 363 dispostivi.

Si raccomanda di:

• Applicare immediatamente le patch di sicurezza fornite da Fortinet per CVE-2024-55591 e CVE-2025-24472.
• Monitorare attentamente gli accessi al firewall e verificare la presenza di account sospetti.
• Analizzare i log di sistema per rilevare eventuali attività anomale, come tentativi di creazione di nuovi account o modifiche ai criteri di automazione.

La rapidità nell’adozione delle contromisure è cruciale per evitare di cadere vittima di attacchi ransomware come *SuperBlack*, che combinano strategie avanzate di attacco con una struttura altamente organizzata. Fortinet continua a monitorare la situazione e a fornire aggiornamenti per mitigare il rischio di nuove compromissioni.

Luca Stivali

Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Aree di competenza: Cyber Threat Intelligence, Architectural Design, Divulgazione