Una pandilla de ransomware emergente que ha estado explotando dos vulnerabilidades en los electrodomésticos de firewall Fortinet puede tener enlaces a los miembros actuales o anteriores de la notoria operación Lockbit, según Inteligence publicada esta semana por la Unidad de Laboratorios Vedere de Forescout Research.
Foresout está atribuyendo superblack a un actor de amenaza rastreado como Mora_001, que exhibe una firma operativa distinta que combina ataques oportunistas con lazos con el ecosistema Lockbit, según el investigador Sai Molige.
“La relación de Mora_001 con las operaciones de ransomware de Lockbit más amplias subraya la mayor complejidad del panorama de ransomware moderno, donde los equipos especializados colaboran para aprovechar las capacidades complementarias”, escribió Molige y el equipo de investigación.
El modus operandi de Mora_001/Superblack hasta la fecha ha sido centrar la atención en CVE-2025-24472 y CVE-2024-55591, un par de fallas de derivación de autenticación descubiertas en Fortinet’s Fortios y Fortiproxy, para acceso inicial.
Estas vulnerabilidades permiten que un actor no autenticado obtenga mayores derechos de administración sobre dispositivos que ejecutan Fortios con interfaces de gestión expuestas. Una exploit de prueba de concepto publicada el 27 de enero de 2025 fue explotada dentro de las 96 horas, dijo Foresout.
Una vez en su red objetivo, la pandilla se movió lateralmente y priorizó objetivos, como autenticación, base de datos y servidores de archivos, controladores de dominio y otros elementos de la infraestructura de red de sus víctimas. Luego exfiltraron datos e iniciaron el cifrado después de hacerlo en un ataque de ransomware bastante estándar.
Reconocimiento de patrones
Al vincular Mora_001/Superblack a Lockbit, famosa en una operación multinacional liderada por el Reino Unido hace poco más de 12 meses, los analistas de Foresout dijeron que observaron una serie de comportamientos posteriores a la explotación consistentes con el libro de jugadas de Lockbit.
Estos incluyeron nombres de usuario idénticos en las redes de víctimas, las direcciones IP superpuestas utilizadas para el acceso y el comando y el control (C2), los comportamientos de copia de seguridad de configuración similares y la implementación rápida de ransomware, a menudo después de solo 48 horas en condiciones “favorables”.
Mora_001/Superblack también aprovechó el Lockbit Builder filtrado, eliminando la marca Lockbit de sus notas de rescate e implementando su propia herramienta de exfiltración.
La evidencia más concreta se encontraba en la nota de rescate de la pandilla, que incluye una ID de TOX utilizada por Lockbit para negociaciones. Foresout dijo que esto sugirió que Mora_001 es un afiliado operativo de Lockbit o un grupo asociado que comparte canales de comunicaciones con la pandilla.
“Los patrones posteriores a la explotación observados nos permitieron definir una firma operativa única que distingue a Mora_001 aparte de otros operadores de ransomware, incluidas las afiliadas de Lockbit”, escribió el equipo. “Este marco operativo consistente sugiere un actor de amenaza distinto con un libro de jugadas estructurado, en lugar de múltiples operadores después de una metodología generalizada de Lockbit”.
Al analizar la línea de tiempo de las intrusiones Mora_001/Superblack, así como los indicadores superpuestos y los patrones operativos, Froscout dijo que ahora podría atribuir “confidentemente” las futuras intrusiones a la pandilla, independientemente de cuál puede ser su relación exacta con Lockbit.
Tras la Operación Cronos de la Agencia Nacional del Crimen (NCA), que interrumpió a Lockbit en febrero de 2024, el panorama de ransomware vio una fragmentación significativa y un aumento en el número de pandillas operativas, lo que sugiere que un número de miembros del colectivo de Lockbit se dispersó bajo presión y estableció nuevas operaciones.
Aunque estas sugerencias son simplemente teorías, el descubrimiento de Mora_001/Superblack les da un cierto peso, y a medida que avanza el año, el legado de Lockbit parece permanecer durante algún tiempo.
Se puede obtener más información sobre Mora_001/Superblack, incluidas tácticas, técnicas y procedimientos (TTP), oportunidades de detección e indicadores de compromiso (COI).