Ransomware-Gruppe nutzt Sicherheitslücken in Fortinet-Firewalls aus
Die Ransomware-Gruppe Mora_001 nutzt gezielt Sicherheitslücken bei Fortinet aus, um ihre Ransomware "Superblack" zu verbreiten. Dabei stehlen sie Daten, verschlüsseln Dateien und hinterlassen Lösegeldforderungen.
Eine Ransomware-Gruppe namens Mora_001 treibt ihr Unwesen und greift gezielt Schwachstellen in Fortinet-Firewalls an. Ziel dabei ist die Verbreitung der neuen Ransomware-Variante "Superblack", wie "Bleepingcomputer" berichtet. Die Bande nutze mittels der Ransomware die zwei Sicherheitslücken CVE-2024-55591 und CVE-2025-24472 aus, die Fortinet im Januar und Februar bekannt gab. Die Ausnutzung dieser beiden Schwachstellen ermögliche es den Angreifern, eine Authentifizierung zu umgehen.
Der Verschlüsselungsprozess
Indem sich Mora_001 die beiden Sicherheitslücken zunutze macht, verschafft sich die Gruppe zunächst Super-Admin-Rechte. So könne sie dann neue Adminkonten erstellen und Automatisierungsaufgaben ändern, um den Zugriff auf die Konten sicherzustellen. Daraufhin versuchen die Angreifer laut "Bleepingcomputer", gestohlene oder neu erstellte VPN-Zugänge sowie verschiedene Zugriffs- und Verwaltungswerkzeuge zu nutzen, um sich im jeweiligen Netzwerk weiter auszubreiten.
Bevor die Ransomware-Bande Dateien mit dem Ziel einer Erpressung verschlüsselt, stiehlt sie Daten mithilfe eines benutzerdefinierten Tools. Nach der Verschlüsselung hinterlegt die Gruppe laut Bericht Lösegeldforderungen auf dem System des Opfers. Zuletzt würde ein speziell entwickeltes Wiper-Tool die Spuren der Ransomware beseitigen, um eine Nachverfolgung des Angriffs zu erschweren.
Mögliche Verbindung zu Lockbit
Laut "Bleepingcomputer" gibt es zudem Hinweise auf eine Verbindung zwischen der Superblack- und der Lockbit-Ransomware. Superblack basiere auf dem durchgesickerten Lockbit-3.0-Builder und verwende dieselbe Nutzlaststruktur sowie ähnliche Verschlüsselungsmethoden wie Lockbit. Des Weiteren deute eine Tox-Chat-ID in den Lösegeldforderungen auf eine Verbindung zu Lockbit hin. Zudem gibt es laut Bericht Überschneidungen bei den IP-Adressen mit früheren Lockbit-Aktivitäten.
Vergangenes Jahr haben die Ransomware-Attacken wieder einen neuen Höchstwert erreicht, wie der Ransomware Report 2024 von Check Point zeigt. Lesen Sie hier mehr über den Anstieg der Anschläge durch Ransomware-Gruppen und weshalb diese trotz erfolgreichen Polizeiaktionen zunehmen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Vishing wird für Cyberkriminelle immer attraktiver
Digitec Galaxus lanciert Budget-Tools im Onlineshop
Hybride Meetings im Jahr 2026: Es kommt nach wie vor auf die Technik an
KI in der Schweiz: Umsetzung jetzt entscheidend
Schweizer Tech-Firma Eturnity fusioniert mit Solar Monkey
Wenn Natur keine Gnade kennt
Betrüger nutzen Not Stellensuchender aus
Klarheit zeigt Wirkung: Wie SRF seine Organisation ausgerichtet hat und weiterdenkt
INP Schweiz meldet Cyberangriff
