Mora_001: un nuevo descendiente de LockBit atraviesa la protección de Fortinet

Los especialistas de Forescout identificaron un nuevo grupo de ransomware llamado Mora_001, que explota dos vulnerabilidades críticas en los productos de Fortinet para obtener acceso no autorizado a los firewalls y desplegar el cifrador personalizado SuperBlack.

Los dos errores están relacionados con la evasión de autenticación y han sido catalogados como CVE-2024-55591 (puntuación CVSS: 9.8) y CVE-2025-24472 (puntuación CVSS: 8.1). Fortinet reveló estas vulnerabilidades en enero y febrero, respectivamente. CVE-2024-55591 ya se había identificado como un Zero-Day en noviembre de 2024, pero con CVE-2025-24472 surgió confusión: aunque inicialmente Fortinet negó su explotación, más tarde confirmó que la vulnerabilidad había sido aprovechada activamente.

Forescout detectó ataques de SuperBlack a finales de enero de 2025 y determinó que los hackers comenzaron a explotar CVE-2025-24472 el 2 de febrero de 2025. Aunque Forescout no presentó informes directamente a Fortinet, los hallazgos fueron transmitidos al PSIRT de la compañía a través de una de las organizaciones afectadas. Poco después, Fortinet actualizó su notificación confirmando la explotación de la vulnerabilidad.

Los ataques con SuperBlack siguen un esquema bien estructurado. Primero, los atacantes obtienen privilegios de "super_admin" mediante ataques WebSocket a través de jsconsole o enviando solicitudes HTTPS a las interfaces de los firewalls. Luego, los ciberdelincuentes crean nuevas cuentas de administrador con nombres como forticloud-tech, fortigate-firewall y adnimistrator, además de modificar tareas automatizadas para restaurarlas si son eliminadas.

Cadena de ataque de Mora_001 (Forescout)

Tras consolidar su acceso en el sistema, los atacantes escanean la red y utilizan credenciales robadas de VPN, WMI, SSH y TACACS+/RADIUS para moverse por la infraestructura. Antes del cifrado, los hackers extraen datos para utilizarlos en tácticas de doble extorsión. Los principales objetivos de los ataques son servidores de archivos, bases de datos y controladores de dominio.

Una vez finalizado el cifrado, se cargan notas de rescate en los dispositivos de las víctimas. Luego, se ejecuta la herramienta personalizada WipeBlack, que elimina rastros del cifrador, dificultando el análisis forense del incidente.

Forescout identificó varios indicios que vinculan a SuperBlack con la operación LockBit:

• El cifrador SuperBlack se basa en el código filtrado de LockBit 3.0, manteniendo la estructura de la carga útil y los métodos de cifrado, aunque sin la marca original.
• El identificador TOX en la nota de rescate coincide con el utilizado en ataques de LockBit, lo que sugiere una posible conexión de Mora_001 con exsocios o figuras clave del grupo.
• Coincidencias significativas en direcciones IP previamente asociadas con ataques de LockBit.
• WipeBlack se ha utilizado en otras campañas relacionadas con LockBit, como BrainCipher, EstateRansomware y SenSayQ.

Forescout publicó una lista detallada de indicadores de compromiso asociados con los ataques de SuperBlack.