Eita! Já março e você ainda não atualizou seus sistemas? Um novo grupo de ransomware, com suspeitas de ligação ao infame LockBit, está causando estragos. Prepare-se para descobrir como eles estão explorando vulnerabilidades e o que você pode fazer para se proteger!
Um Novo Jogador no Jogo do Ransomware
Pesquisadores de segurança estão monitorando um grupo de ransomware recém-descoberto, chamado Mora_001, com fortes indícios de ligação ao LockBit. Desde janeiro, uma série de invasões tem sido relatada, todas seguindo um padrão preocupante.
Explorando Vulnerabilidades da Fortinet
O grupo Mora_001 tem explorado duas vulnerabilidades na solução de firewall Fortinet: CVE-2024-55591 e CVE-2025-24472. Ambas são vulnerabilidades de bypass de autenticação, divulgadas pela Fortinet em janeiro. A rapidez com que foram exploradas mostra a importância das atualizações.
O Ataque em Detalhes
Após a entrada inicial, os atacantes elevam seus privilégios para administrador, criando contas adicionais com nomes bem parecidos com contas legítimas. Isso permite que se misturem e passem despercebidos durante as revisões de administração.
Em redes com VPN, os atacantes usavam essas contas para acessar a rede. Em redes sem VPN, eles tentavam acessar firewalls adjacentes usando as credenciais obtidas. Isso foi feito explorando a funcionalidade de alta disponibilidade (HA) ou usando protocolos TACACS+ ou RADIUS.
Com acesso total, eles exploram os dashboards do FortiGate para obter informações e usar o SSH para acessar sistemas de alto valor, como servidores de arquivos e controladores de domínio.
O elo com o LockBit
O ransomware usado, apelidado de SuperBlack, é baseado no LockBit 3.0 ou LockBit Black. Apesar de modificado, o código-base é similar ao do LockBit, e o uso de um ID qTox conhecido por ser usado pelo LockBit reforça a suspeita de ligação.
O SuperBlack apresenta pequenas alterações na nota de resgate e um módulo personalizado de exfiltração de dados. Entretanto, o padrão de ataque pós-exploração e o ID qTox são fortes indicadores de conexão com o LockBit.
Medidas de Segurança
- Atualize seus sistemas imediatamente: Aplique as correções de segurança para as vulnerabilidades da Fortinet o mais rápido possível.
- Auditoria de contas de administrador: Verifique regularmente as contas de administrador em busca de entradas suspeitas ou não autorizadas.
- Revise o acesso VPN: Analise as permissões e o acesso dos usuários VPN.
- Desabilite o acesso externo: Desative o acesso externo à administração dos firewalls sempre que possível.
Em resumo, a ameaça é real e eficaz. A velocidade com que o Mora_001 tem explorado essas vulnerabilidades demonstra a importância de manter seus sistemas atualizados e seguros. Não se torne uma vítima. Tome medidas proativas para proteger sua infraestrutura.
Deixe seu comentário abaixo compartilhando suas experiências e estratégias de segurança!
