Ransomware-Gruppe nutzt Sicherheitslücken in Fortinet-Firewalls aus
Die Ransomware-Gruppe Mora_001 nutzt gezielt Sicherheitslücken bei Fortinet aus, um ihre Ransomware "Superblack" zu verbreiten. Dabei stehlen sie Daten, verschlüsseln Dateien und hinterlassen Lösegeldforderungen.
Eine Ransomware-Gruppe namens Mora_001 treibt ihr Unwesen und greift gezielt Schwachstellen in Fortinet-Firewalls an. Ziel dabei ist die Verbreitung der neuen Ransomware-Variante "Superblack", wie "Bleepingcomputer" berichtet. Die Bande nutze mittels der Ransomware die zwei Sicherheitslücken CVE-2024-55591 und CVE-2025-24472 aus, die Fortinet im Januar und Februar bekannt gab. Die Ausnutzung dieser beiden Schwachstellen ermögliche es den Angreifern, eine Authentifizierung zu umgehen.
Der Verschlüsselungsprozess
Indem sich Mora_001 die beiden Sicherheitslücken zunutze macht, verschafft sich die Gruppe zunächst Super-Admin-Rechte. So könne sie dann neue Adminkonten erstellen und Automatisierungsaufgaben ändern, um den Zugriff auf die Konten sicherzustellen. Daraufhin versuchen die Angreifer laut "Bleepingcomputer", gestohlene oder neu erstellte VPN-Zugänge sowie verschiedene Zugriffs- und Verwaltungswerkzeuge zu nutzen, um sich im jeweiligen Netzwerk weiter auszubreiten.
Bevor die Ransomware-Bande Dateien mit dem Ziel einer Erpressung verschlüsselt, stiehlt sie Daten mithilfe eines benutzerdefinierten Tools. Nach der Verschlüsselung hinterlegt die Gruppe laut Bericht Lösegeldforderungen auf dem System des Opfers. Zuletzt würde ein speziell entwickeltes Wiper-Tool die Spuren der Ransomware beseitigen, um eine Nachverfolgung des Angriffs zu erschweren.
Mögliche Verbindung zu Lockbit
Laut "Bleepingcomputer" gibt es zudem Hinweise auf eine Verbindung zwischen der Superblack- und der Lockbit-Ransomware. Superblack basiere auf dem durchgesickerten Lockbit-3.0-Builder und verwende dieselbe Nutzlaststruktur sowie ähnliche Verschlüsselungsmethoden wie Lockbit. Des Weiteren deute eine Tox-Chat-ID in den Lösegeldforderungen auf eine Verbindung zu Lockbit hin. Zudem gibt es laut Bericht Überschneidungen bei den IP-Adressen mit früheren Lockbit-Aktivitäten.
Vergangenes Jahr haben die Ransomware-Attacken wieder einen neuen Höchstwert erreicht, wie der Ransomware Report 2024 von Check Point zeigt. Lesen Sie hier mehr über den Anstieg der Anschläge durch Ransomware-Gruppen und weshalb diese trotz erfolgreichen Polizeiaktionen zunehmen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Apple verbessert Schutz gegen Zero-Day-Schwachstelle in Web-Browsern
Ransomware-Gruppe nutzt Sicherheitslücken in Fortinet-Firewalls aus
Topmoderne Sicherheit und hochwertige Professional Services aus einer Hand
Check Point befördert Schweiz-Chef zum Director Globals EMEA und Asia
Microsoft behebt kritische Windows-Sicherheitslücken
Das sind die Shortlist-Kandidaten von Best of .swiss
Betrüger ködern Bücherwürmer mit vermeintlichem Orell-Füssli-Angebot
Cyberkriminelle greifen Messe-Bauer Syma an
Wenn die Telefongesellschaft nicht locker lassen will
