Un nuevo ransomware llamado 'Mora_001' está explotando dos vulnerabilidades de Fortinet para obtener acceso no autorizado a dispositivos de firewall y desplegar una cepa de ransomware personalizada denominada SuperBlack.
Las dos vulnerabilidades, ambas consistentes en evadir la autenticación, son CVE-2024-55591 y CVE-2025-24472, que Fortinet divulgó en enero y febrero, respectivamente. Cuando Fortinet reveló por primera vez CVE-2024-55591 el 14 de enero, confirmaron que había sido explotada como un ataque de día cero, y la firma de seguridad Arctic Wolf informó que este exploit había estado activo desde noviembre de 2024 para vulnerar los firewalls de FortiGate.
Esta variante maliciosa pone en riesgo redes empresariales y gubernamentales, comprometiendo datos y sistemas críticos. Entender cómo funciona este ataque y cómo prevenirlo es clave para proteger tu organización.
Confusión en torno a las vulnerabilidades CVE-2025-24472 y CVE-2024-55591
Para agregar más confusión, el 11 de febrero Fortinet añadió la vulnerabilidad CVE-2025-24472 a su aviso de seguridad de enero, lo que hizo que muchos creyeran que era una nueva vulnerabilidad explotada recientemente. Sin embargo, Fortinet aclaró que este error ya había sido corregido en enero de 2024 y que, hasta el momento, no tenían información de que hubiera sido explotado.
Poco después, se descubrió que los ataques de SuperBlack comenzaron a finales de enero de 2025, y que el actor de amenazas había estado utilizando la vulnerabilidad CVE-2025-24472 desde el 2 de febrero de 2025.
Una de las organizaciones afectadas informó a Fortinet sobre esta vulnerabilidad, lo que llevó a que el 11 de febrero se actualizara el aviso de seguridad para reconocer que esta falla estaba siendo explotada activamente.
¿Cómo se Desarrollan los Ataques de Ransomware SuperBlack?
El grupo detrás del ransomware Mora_001 tiene una estrategia de ataque bastante organizada que sigue una serie de pasos bien definidos:
-
Acceso Inicial: El atacante obtiene permisos de 'super_admin' explotando las vulnerabilidades de Fortinet. Esto lo logran usando ataques basados en WebSocket a través de la interfaz jsconsole o enviando solicitudes HTTPS directas a interfaces de firewall expuestas.
-
Creación de Cuentas: Una vez dentro, los atacantes crean nuevas cuentas de administrador con nombres como
forticloud-tech
,fortigate-firewall
yadministrator
. Además, modifican las tareas de automatización para que estas cuentas se vuelvan a crear automáticamente si alguien intenta eliminarlas. -
Movilidad en la Red: Después de establecerse en el sistema, el atacante mapea la red e intenta moverse lateralmente usando credenciales VPN robadas, cuentas VPN recién creadas, herramientas como Windows Management Instrumentation (WMIC) y SSH, así como autenticación TACACS+/RADIUS.
-
Robo de Información: Antes de cifrar los archivos, Mora_001 extrae datos confidenciales utilizando una herramienta personalizada. Su objetivo principal suele ser robar archivos en servidores, bases de datos y controladores de dominio para ejecutar una doble extorsión.
-
Cifrado y Limpieza: Finalmente, el atacante deja notas de rescate en los sistemas de la víctima y utiliza un limpiador personalizado llamado "WipeBlack" que borra cualquier rastro del ejecutable del ransomware para dificultar el análisis forense.
Descripción general de la cadena de ataque de Mora_001
Nota de rescate de SuperBlack (Fuente: Forescout)
Conoce más sobre: Las Nuevas Bandas de Ransomware en 2025
SuperBlack y su Vínculo con LockBit
Aunque SuperBlack parece operar por su cuenta, hay fuertes indicios de que está relacionado con el conocido ransomware LockBit.
-
El cifrador de SuperBlack se basa en el constructor filtrado de LockBit 3.0, ya que ambas variantes comparten la misma estructura de carga útil y los mismos métodos de cifrado, aunque SuperBlack conserva su propia identidad visual.
-
La nota de rescate de SuperBlack incluye un ID de chat TOX vinculado con operaciones anteriores de LockBit, lo que sugiere que el grupo detrás de Mora_001 pudo haber trabajado anteriormente como afiliado o incluso haber sido parte del equipo central de LockBit, encargado de manejar pagos y negociaciones de rescate.
-
También se ha detectado una importante coincidencia en las direcciones IP utilizadas en campañas anteriores de LockBit, reforzando la hipótesis de una conexión directa.
-
Además, la herramienta "WipeBlack" también ha sido vista en otros ataques de ransomware como BrainCipher, EstateRansomware y SenSayQ, todos ellos asociados a LockBit en algún momento.
Diagrama de relaciones basado en la evidencia disponible
¿Cómo Protegerse del Ransomware?
La mejor forma de evitar que el ransomware afecte tu empresa es implementar una serie de medidas preventivas que fortalezcan tu seguridad:
-
Mantén tus sistemas actualizados: Instala siempre las últimas actualizaciones de seguridad, especialmente en dispositivos críticos como firewalls, servidores y VPNs.
-
Limita el acceso remoto: Restringir el acceso a tu red solo a direcciones IP de confianza reduce las posibilidades de que atacantes se infiltren.
-
Implementa la autenticación multifactor (MFA): Esta capa adicional de seguridad complica que un atacante pueda acceder a tus sistemas incluso si ha obtenido credenciales robadas.
-
Realiza copias de seguridad periódicas: Guarda copias en ubicaciones seguras, preferiblemente fuera de línea, para que puedas restaurar la información en caso de un ataque.
-
Utiliza soluciones avanzadas de ciberseguridad como TecnetProtect: Esta herramienta combina protección activa contra ransomware con copias de seguridad avanzadas. Su sistema de defensa incluye un módulo que detecta y detiene procesos sospechosos en tiempo real, lo que permite bloquear ataques de cifrado antes de que se propaguen. Además, cuenta con tecnología que puede revertir cambios no autorizados en archivos para minimizar el daño.
-
Capacita a tus empleados: Educar a tu equipo para que reconozca correos electrónicos de phishing y archivos sospechosos es clave para evitar que el ransomware ingrese a la red.
Conclusión
El ransomware como SuperBlack es una prueba más de que las amenazas digitales no paran de evolucionar. Para mantener tu empresa segura, es clave adoptar un enfoque proactivo: mantén tus sistemas al día, refuerza el control de accesos y capacita a tu equipo. Invertir en soluciones avanzadas como TecnetProtect también puede marcar la diferencia, ya que te ofrece una barrera extra contra este tipo de ataques. Con estas medidas, puedes reducir en gran medida el riesgo de ser víctima de futuros incidentes.