Хакери з LockBit використовують вразливості Fortinet для атак програмами-вимагачами

Дослідники безпеки зафіксували активне використання хакерами вразливостей брандмауера Fortinet для розгортання програм-вимагачів у корпоративних мережах. Нападники, пов’язані з групою LockBit, експлуатують ці вразливості для проникнення в системи компаній та використання шкідливого ПЗ, відомого як SuperBlack.

Хакери атакують корпоративні мережі

Згідно зі звітом Forescout Research, хакерська група Mora_001 використовує брандмауери Fortinet, які розташовані на межі корпоративних мереж, для злому та впровадження програм-вимагачів.

Головні вразливості, які використовують зловмисники CVE-2024-55591 та CVE-2025-24472. Fortinet випустила виправлення для обох вразливостей у січні 2025 року, однак багато компаній досі не застосували оновлення, що дозволяє хакерам продовжувати атаки.

SuperBlack – це модифікований варіант шкідливого ПЗ, яке використовувалося в атаках LockBit версії 3.0. Хакери використовують його для шифрування корпоративних файлів, але перед цим крадуть конфіденційні дані. Тренд серед сучасних атак програм-вимагачів – крадіжка інформації перед шифруванням, що дозволяє зловмисникам використовувати її як важіль тиску на жертв.

Дослідники безпеки помітили, що Mora_001 має “оперативний підпис“, схожий на LockBit. Крім того SuperBlack використовує той самий компонувальник, що й LockBit 3.0. Повідомлення про викуп містить ту ж адресу для обміну повідомленнями, що використовує LockBit. Це може означати, що Mora_001 є або підрозділом LockBit, або пов’язаною групою, яка ділиться технологіями та каналами комунікації.