Μια πρόσφατη απειλή στον κυβερνοχώρο, το ransomware SuperBlack, που αναπτύσσεται από μια ομάδα χάκερ γνωστή ως ‘Mora_001’, αξιοποιεί κρίσιμες ευπάθειες στα προϊόντα της Fortinet. Οι ευπάθειες αυτές επιτρέπουν στους επιτιθέμενους να αποκτούν υψηλού επιπέδου πρόσβαση στις συσκευές ασφαλείας και να εκβιάζουν οργανισμούς μέσω κρυπτογράφησης αρχείων.
Ποιες ευπάθειες εκμεταλλεύεται η ομάδα Mora_001;
Οι δύο κρίσιμες ευπάθειες που αξιοποιούνται είναι οι εξής:
- CVE-2024-55591: Σημαντικό κενό ασφαλείας που επιτρέπει την παράκαμψη της αυθεντικοποίησης μέσω του Node.js websocket module. Η ευπάθεια επηρεάζει τις εκδόσεις FortiOS 7.0.0 έως 7.0.16 και FortiProxy 7.0.0 έως 7.0.19 και 7.2.0 έως 7.2.12.
- CVE-2025-24472: Μια παρόμοια ευπάθεια παράκαμψης αυθεντικοποίησης που σχετίζεται με το CSF proxy, επηρεάζοντας τις ίδιες εκδόσεις με την προηγούμενη.
Η Fortinet έχει ήδη διαθέσει ενημερώσεις, αλλά πολλές συσκευές δεν έχουν λάβει τις αναγκαίες ενημερώσεις, αφήνοντάς τες εκτεθειμένες.
Πώς λειτουργεί το SuperBlack ransomware;
Η επίθεση SuperBlack ακολουθεί συγκεκριμένα βήματα:
- Αρχική πρόσβαση: Εκμετάλλευση των προαναφερθεισών ευπαθειών για απόκτηση δικαιωμάτων super-admin.
- Διατήρηση της πρόσβασης: Δημιουργία νέων κρυφών λογαριασμών διαχειριστή (π.χ. forticloud-tech, fortigate-firewall, adnimistrator).
- Εξερεύνηση δικτύου και πλευρική κίνηση: Χρήση κλεμμένων VPN credentials, SSH, WMIC και πρωτόκολλα TACACS+/RADIUS για επέκταση της επίθεσης στο εσωτερικό δίκτυο.
- Εξαγωγή και κρυπτογράφηση δεδομένων: Αφαίρεση ευαίσθητων δεδομένων πριν την κρυπτογράφηση για να ασκήσουν διπλή πίεση στο θύμα, στοχεύοντας κυρίως servers αρχείων, βάσεων δεδομένων και domain controllers.
- Καταστροφή αποδεικτικών στοιχείων: Χρήση ενός ειδικού εργαλείου, του ‘WipeBlack’, για διαγραφή των αρχείων και απόκρυψη ιχνών της επίθεσης.
Συσχέτιση SuperBlack και LockBit
Οι ερευνητές ασφάλειας έχουν ανακαλύψει σημαντικές ενδείξεις σύνδεσης μεταξύ του SuperBlack ransomware και της γνωστής ομάδας LockBit:
- Βασίζεται στο LockBit 3.0: Το SuperBlack χρησιμοποιεί μια τροποποιημένη έκδοση του leaked builder του LockBit 3.0, αν και έχει αφαιρέσει τα διακριτικά χαρακτηριστικά.
- Κοινό TOX ID επικοινωνίας: Η σημείωση λύτρων περιλαμβάνει ένα TOX chat ID που έχει εντοπιστεί σε επιχειρήσεις του LockBit, γεγονός που υποδεικνύει προηγούμενη σχέση μεταξύ των δύο ομάδων.
- Κοινές διευθύνσεις IP: Παρατηρείται επικάλυψη IP διευθύνσεων που χρησιμοποιήθηκαν σε παλαιότερες επιχειρήσεις του LockBit.
Πώς να προστατευθείτε;
Για την αντιμετώπιση της απειλής αυτής, οι ειδικοί συστήνουν:
- Άμεση εγκατάσταση των ενημερώσεων ασφαλείας: Φροντίστε για την εγκατάσταση των patches για τις ευπάθειες CVE-2024-55591 και CVE-2025-24472.
- Περιορισμός εξωτερικής πρόσβασης: Απενεργοποίηση της απομακρυσμένης πρόσβασης διαχείρισης και χρήση αυστηρών πολιτικών πρόσβασης μέσω firewall.
- Συνεχής επιτήρηση λογαριασμών διαχειριστή: Πραγματοποιήστε τακτικούς ελέγχους των προνομιακών λογαριασμών και καταργήστε τους αχρησιμοποίητους ή ύποπτους λογαριασμούς.
- Εφαρμογή αρχών Zero Trust: Αξιοποιήστε αρχιτεκτονική Zero Trust για την πρόληψη επιθέσεων πλευρικής κίνησης.
- Ενημέρωση προσωπικού: Εκπαίδευση των εργαζομένων για την αναγνώριση απειλών ransomware και phishing.
Η προληπτική δράση είναι απαραίτητη για την αποτροπή τέτοιων επιθέσεων και την ελαχιστοποίηση των ζημιών σε περίπτωση παραβίασης.
Πηγές: TheRegister, BleepingComputer, SecurityWeek
