Nuevo Ransomware SuperBlack Explota Vulnerabilidades en Fortinet
Gustavo Sánchez 03/14/2025 Ciberseguridad, Vulnerabilidades, TecnetProtect, Malware, Ciberataque
3 Minutos

Un nuevo ransomware llamado 'Mora_001' está explotando dos vulnerabilidades de Fortinet para obtener acceso no autorizado a dispositivos de firewall y desplegar una cepa de ransomware personalizada denominada SuperBlack.

Las dos vulnerabilidades, ambas consistentes en evadir la autenticación, son CVE-2024-55591 y CVE-2025-24472, que Fortinet divulgó en enero y febrero, respectivamente. Cuando Fortinet reveló por primera vez CVE-2024-55591 el 14 de enero, confirmaron que había sido explotada como un ataque de día cero, y la firma de seguridad Arctic Wolf informó que este exploit había estado activo desde noviembre de 2024 para vulnerar los firewalls de FortiGate.

Esta variante maliciosa pone en riesgo redes empresariales y gubernamentales, comprometiendo datos y sistemas críticos. Entender cómo funciona este ataque y cómo prevenirlo es clave para proteger tu organización.

 

Confusión en torno a las vulnerabilidades CVE-2025-24472 y CVE-2024-55591

 

Para agregar más confusión, el 11 de febrero Fortinet añadió la vulnerabilidad CVE-2025-24472 a su aviso de seguridad de enero, lo que hizo que muchos creyeran que era una nueva vulnerabilidad explotada recientemente. Sin embargo, Fortinet aclaró que este error ya había sido corregido en enero de 2024 y que, hasta el momento, no tenían información de que hubiera sido explotado.

Poco después, se descubrió que los ataques de SuperBlack comenzaron a finales de enero de 2025, y que el actor de amenazas había estado utilizando la vulnerabilidad CVE-2025-24472 desde el 2 de febrero de 2025.

Una de las organizaciones afectadas informó a Fortinet sobre esta vulnerabilidad, lo que llevó a que el 11 de febrero se actualizara el aviso de seguridad para reconocer que esta falla estaba siendo explotada activamente.

 

¿Cómo se Desarrollan los Ataques de Ransomware SuperBlack?

 

El grupo detrás del ransomware Mora_001 tiene una estrategia de ataque bastante organizada que sigue una serie de pasos bien definidos:

 

  1. Acceso Inicial: El atacante obtiene permisos de 'super_admin' explotando las vulnerabilidades de Fortinet. Esto lo logran usando ataques basados en WebSocket a través de la interfaz jsconsole o enviando solicitudes HTTPS directas a interfaces de firewall expuestas.

  2. Creación de Cuentas: Una vez dentro, los atacantes crean nuevas cuentas de administrador con nombres como forticloud-tech, fortigate-firewall y administrator. Además, modifican las tareas de automatización para que estas cuentas se vuelvan a crear automáticamente si alguien intenta eliminarlas.

  3. Movilidad en la Red: Después de establecerse en el sistema, el atacante mapea la red e intenta moverse lateralmente usando credenciales VPN robadas, cuentas VPN recién creadas, herramientas como Windows Management Instrumentation (WMIC) y SSH, así como autenticación TACACS+/RADIUS.

  4. Robo de Información: Antes de cifrar los archivos, Mora_001 extrae datos confidenciales utilizando una herramienta personalizada. Su objetivo principal suele ser robar archivos en servidores, bases de datos y controladores de dominio para ejecutar una doble extorsión.

  5. Cifrado y Limpieza: Finalmente, el atacante deja notas de rescate en los sistemas de la víctima y utiliza un limpiador personalizado llamado "WipeBlack" que borra cualquier rastro del ejecutable del ransomware para dificultar el análisis forense.

 

attack-chain-2

Descripción general de la cadena de ataque de Mora_001

 

nota de rescate

Nota de rescate de SuperBlack (Fuente: Forescout)

 

Conoce más sobre: Las Nuevas Bandas de Ransomware en 2025

 

SuperBlack y su Vínculo con LockBit

 

Aunque SuperBlack parece operar por su cuenta, hay fuertes indicios de que está relacionado con el conocido ransomware LockBit.

 

  1. El cifrador de SuperBlack se basa en el constructor filtrado de LockBit 3.0, ya que ambas variantes comparten la misma estructura de carga útil y los mismos métodos de cifrado, aunque SuperBlack conserva su propia identidad visual.

  2. La nota de rescate de SuperBlack incluye un ID de chat TOX vinculado con operaciones anteriores de LockBit, lo que sugiere que el grupo detrás de Mora_001 pudo haber trabajado anteriormente como afiliado o incluso haber sido parte del equipo central de LockBit, encargado de manejar pagos y negociaciones de rescate.

  3. También se ha detectado una importante coincidencia en las direcciones IP utilizadas en campañas anteriores de LockBit, reforzando la hipótesis de una conexión directa.

  4. Además, la herramienta "WipeBlack" también ha sido vista en otros ataques de ransomware como BrainCipher, EstateRansomware y SenSayQ, todos ellos asociados a LockBit en algún momento.

 

relationship

Diagrama de relaciones basado en la evidencia disponible

 

¿Cómo Protegerse del Ransomware?

 

La mejor forma de evitar que el ransomware afecte tu empresa es implementar una serie de medidas preventivas que fortalezcan tu seguridad:

 

  1. Mantén tus sistemas actualizados: Instala siempre las últimas actualizaciones de seguridad, especialmente en dispositivos críticos como firewalls, servidores y VPNs.

  2. Limita el acceso remoto: Restringir el acceso a tu red solo a direcciones IP de confianza reduce las posibilidades de que atacantes se infiltren.

  3. Implementa la autenticación multifactor (MFA): Esta capa adicional de seguridad complica que un atacante pueda acceder a tus sistemas incluso si ha obtenido credenciales robadas.

  4. Realiza copias de seguridad periódicas: Guarda copias en ubicaciones seguras, preferiblemente fuera de línea, para que puedas restaurar la información en caso de un ataque.

  5. Utiliza soluciones avanzadas de ciberseguridad como TecnetProtect: Esta herramienta combina protección activa contra ransomware con copias de seguridad avanzadas. Su sistema de defensa incluye un módulo que detecta y detiene procesos sospechosos en tiempo real, lo que permite bloquear ataques de cifrado antes de que se propaguen. Además, cuenta con tecnología que puede revertir cambios no autorizados en archivos para minimizar el daño.

  6. Capacita a tus empleados: Educar a tu equipo para que reconozca correos electrónicos de phishing y archivos sospechosos es clave para evitar que el ransomware ingrese a la red.

 

Conclusión

 

El ransomware como SuperBlack es una prueba más de que las amenazas digitales no paran de evolucionar. Para mantener tu empresa segura, es clave adoptar un enfoque proactivo: mantén tus sistemas al día, refuerza el control de accesos y capacita a tu equipo. Invertir en soluciones avanzadas como TecnetProtect también puede marcar la diferencia, ya que te ofrece una barrera extra contra este tipo de ataques. Con estas medidas, puedes reducir en gran medida el riesgo de ser víctima de futuros incidentes.

 

Prueba TecnetProtect 30 Días Gratis

Tag:

Ciberseguridad Vulnerabilidades TecnetProtect Malware Ciberataque

Ataque ClickFix Distribuye RAT en Correos Falsos de Booking.com

Artículo Anterior

    Categorías

    Artículos más leídos

    Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
    Descubriendo los canales en Telegram de la Dark Web
    Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
    Guía para Activar y Usar Copilot en Word Eficazmente
    Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
    Top 5 de Foros Rusos en la Dark Web
    Alexander Chapellin 02/17/2024 Ciberseguridad, Riesgos informaticos
    Alternativa Económica a Flipper Zero para Hacking: M1

    Artículos Relacionados

    Ciberseguridad, Riesgos informaticos, Malware, Ciberataque
    Jonathan Montoya 03/13/2025

    Ataque ClickFix Distribuye RAT en Correos Falsos de Booking.com

    Un nuevo y peligroso ataque está poniendo en riesgo al sector hotelero. Microsoft ha advertido

    Leer más
    Ciberseguridad, Malware, Ciberataque
    Zoilijee Quero 03/13/2025

    Malware Grandoreiro: Troyano permite Fraudes Bancarios desde tu PC

    Los ciberdelincuentes no se detienen, y Grandoreiro es la prueba de ello. Este troyano bancario

    Leer más
    Ciberseguridad, Riesgos informaticos, TecnetProtect, Malware, Ciberataque
    Eduardo Morales 03/13/2025

    Ransomware Medusa impacta a 300 Organizaciones críticas según CISA

    El ransomware Medusa se ha convertido en una seria amenaza para la seguridad de organizaciones en

    Leer más
    Bottom Banner

    Reduce los costos de TI y eleva la productividad de tu empresa con TecnetOne

    Si te interesa implementar soluciones en la nube en tu empresa, te invitamos a que nos contactes.

    Quiero saber más