Nuevo ransomware SuperBlack explota Vulnerabilidades de Bypass de Autenticación de Fortinet

Escrito por / 22 de octubre de 2025 / Noticias Hacking y Seguridad Informática / Ransomware, Vulnerabilidad

Un nuevo operador de ransomware llamado ‘Mora_001’ está explotando dos vulnerabilidades en Fortinet para obtener acceso no autorizado a los dispositivos de cortafuegos y desplegar una variante de ransomware personalizada denominada SuperBlack.

Nuevo ransomware SuperBlack explota vulnerabilidades de bypass de autenticación de Fortinet

Un nuevo operador de ransomware llamado ‘Mora_001’ está explotando dos vulnerabilidades en Fortinet para obtener acceso no autorizado a los dispositivos de cortafuegos y desplegar una variante de ransomware personalizada denominada SuperBlack.

Las vulnerabilidades explotadas

Las dos vulnerabilidades, ambas de bypass de autenticación, son CVE-2024-55591 y CVE-2025-24472, divulgadas por Fortinet en enero y febrero de 2025, respectivamente.

CVE-2024-55591 fue confirmada como una explotación de día cero cuando Fortinet la divulgó el 14 de enero, y se confirmó que se había utilizado en ataques desde noviembre de 2024 para violar los cortafuegos FortiGate.

En febrero de 2025, Fortinet añadió CVE-2025-24472 a su aviso de enero, lo que causó confusión sobre si esta vulnerabilidad había sido explotada recientemente.

Aunque Fortinet aclaró que este fallo había sido corregido en enero de 2024 y no había sido explotado en ese momento.

No obstante, un nuevo informe de los investigadores de Forescout revela que las explotaciones de SuperBlack comenzaron en enero de 2025, con los atacantes utilizando CVE-2025-24472 tan pronto como el 2 de febrero de 2025.

Cadena de ataque de SuperBlack ️

El operador de ransomware Mora_001 sigue una cadena de ataque muy estructurada que no varía mucho entre las víctimas:

1. Obtención de privilegios de ‘super_admin’

Explotando las dos vulnerabilidades de Fortinet, utilizando ataques basados en WebSocket a través de la interfaz jsconsole o enviando solicitudes directas HTTPS a interfaces expuestas de los cortafuegos.

2. Creación de cuentas de administrador

Los atacantes crean nuevas cuentas de administrador (como forticloud-tech, fortigate-firewall, y adnimistrator) y modifican tareas de automatización para recrearlas si se eliminan.

3. Movilidad lateral y robo de datos

Después, el atacante mapea la red y realiza movimiento lateral utilizando credenciales de VPN robadas y nuevas cuentas de VPN, además de WMIC, SSH y autenticación TACACS+/RADIUS.

4. Cifrado y doble extorsión

El atacante utiliza una herramienta personalizada para robar datos antes de cifrar los archivos. Se priorizan servidores de archivos, servidores de bases de datos y controladores de dominio.

5. Destrucción de huellas

Después del cifrado, se dejan notas de rescate en el sistema de la víctima. Luego se despliega un wiper personalizado llamado ‘WipeBlack’ para eliminar todas las huellas del ejecutable del ransomware y dificultar el análisis forense.

Conexión entre SuperBlack y LockBit

Forescout ha encontrado pruebas extensas que sugieren una fuerte relación entre la operación de SuperBlack y el ransomware LockBit, aunque SuperBlack parece operar de manera independiente.

1. Cifrador similar a LockBit

El cifrador de SuperBlack se basa en el constructor filtrado de LockBit 3.0, con una estructura de carga útil idéntica y métodos de cifrado, aunque con el branding original eliminado.

2. Nota de rescate con indicios de LockBit

La nota de rescate de SuperBlack incluye un ID de chat TOX vinculado a las operaciones de LockBit, lo que sugiere que Mora_001 podría ser un ex afiliado o miembro del equipo principal de LockBit, encargado de gestionar los pagos de rescate y negociaciones.

3. Superposición de direcciones IP

También se han observado solapamientos de direcciones IP con las operaciones anteriores de LockBit. Además, el wiper WipeBlack ha sido utilizado por otros ransomware como BrainCipher, EstateRansomware y SenSayQ ransomware, todos vinculados a LockBit.

Indicadores de compromiso (IoC)

Forescout ha compartido una lista detallada de indicadores de compromiso (IoC) vinculados a los ataques de SuperBlack en el informe completo.

Este ataque destaca el uso innovador de vulnerabilidades de Fortinet junto con técnicas avanzadas de extorsión para comprometer redes y destruir evidencia de ataques, lo que hace que la investigación y mitigación sean más complejas.

Vistas: 1

🔥 LO MÁS VISTO DE ESTA CATEGORÍA