Ransomware-Gruppe nutzt Sicherheitslücken in Fortinet-Firewalls aus
Die Ransomware-Gruppe Mora_001 nutzt gezielt Sicherheitslücken bei Fortinet aus, um ihre Ransomware "Superblack" zu verbreiten. Dabei stehlen sie Daten, verschlüsseln Dateien und hinterlassen Lösegeldforderungen.
Eine Ransomware-Gruppe namens Mora_001 treibt ihr Unwesen und greift gezielt Schwachstellen in Fortinet-Firewalls an. Ziel dabei ist die Verbreitung der neuen Ransomware-Variante "Superblack", wie "Bleepingcomputer" berichtet. Die Bande nutze mittels der Ransomware die zwei Sicherheitslücken CVE-2024-55591 und CVE-2025-24472 aus, die Fortinet im Januar und Februar bekannt gab. Die Ausnutzung dieser beiden Schwachstellen ermögliche es den Angreifern, eine Authentifizierung zu umgehen.
Der Verschlüsselungsprozess
Indem sich Mora_001 die beiden Sicherheitslücken zunutze macht, verschafft sich die Gruppe zunächst Super-Admin-Rechte. So könne sie dann neue Adminkonten erstellen und Automatisierungsaufgaben ändern, um den Zugriff auf die Konten sicherzustellen. Daraufhin versuchen die Angreifer laut "Bleepingcomputer", gestohlene oder neu erstellte VPN-Zugänge sowie verschiedene Zugriffs- und Verwaltungswerkzeuge zu nutzen, um sich im jeweiligen Netzwerk weiter auszubreiten.
Bevor die Ransomware-Bande Dateien mit dem Ziel einer Erpressung verschlüsselt, stiehlt sie Daten mithilfe eines benutzerdefinierten Tools. Nach der Verschlüsselung hinterlegt die Gruppe laut Bericht Lösegeldforderungen auf dem System des Opfers. Zuletzt würde ein speziell entwickeltes Wiper-Tool die Spuren der Ransomware beseitigen, um eine Nachverfolgung des Angriffs zu erschweren.
Mögliche Verbindung zu Lockbit
Laut "Bleepingcomputer" gibt es zudem Hinweise auf eine Verbindung zwischen der Superblack- und der Lockbit-Ransomware. Superblack basiere auf dem durchgesickerten Lockbit-3.0-Builder und verwende dieselbe Nutzlaststruktur sowie ähnliche Verschlüsselungsmethoden wie Lockbit. Des Weiteren deute eine Tox-Chat-ID in den Lösegeldforderungen auf eine Verbindung zu Lockbit hin. Zudem gibt es laut Bericht Überschneidungen bei den IP-Adressen mit früheren Lockbit-Aktivitäten.
Vergangenes Jahr haben die Ransomware-Attacken wieder einen neuen Höchstwert erreicht, wie der Ransomware Report 2024 von Check Point zeigt. Lesen Sie hier mehr über den Anstieg der Anschläge durch Ransomware-Gruppen und weshalb diese trotz erfolgreichen Polizeiaktionen zunehmen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wie aus barrierefreiem Web-Design inklusives Web-Design wird
Verein Swiss FS-CSC gründet Cyber-Notfallstab
Auditfähig. Und trotzdem schnell.
Swiss Post Cybersecurity partnert mit Swisssign
Zu viel Persönlichkeit: Deshalb ist der Computer in Star Trek kein Australier
Phishing-Welle trifft Bexio-Kundschaft
DeepL baut ein Viertel der Stellen ab
Über 100 Unternehmen zahlen keine Recyclinggebühren auf Elektrogeräte
Elca festigt Umsatz mit KI-Ausrichtung
