Pesquisadores de segurança identificaram que hackers associados ao grupo LockBit estão explorando duas vulnerabilidades em firewalls da Fortinet para invadir redes corporativas e implantar ransomware. O grupo, rastreado como “Mora_001”, utiliza as brechas para distribuir uma variante personalizada de ransomware chamada “SuperBlack”, segundo um relatório divulgado pela Forescout Research.
As vulnerabilidades exploradas, identificadas como CVE-2024-55591 e CVE-2025-24472, afetam firewalls da Fortinet, dispositivos que atuam como gatekeepers digitais na borda das redes corporativas. A primeira falha tem sido usada em ciberataques desde dezembro de 2024, enquanto a segunda também foi incorporada ao modus operandi do grupo Mora_001. A Fortinet liberou correções para ambas as brechas em janeiro deste ano.
A empresa de segurança investigou três incidentes em diferentes organizações, mas acredita que pode haver mais vítimas. Em um dos casos confirmados, os atacantes criptografaram de forma seletiva servidores de arquivos contendo dados sensíveis.
A Forescout destacou que o grupo Mora_001 apresenta uma “assinatura operacional distinta” e mantém “laços próximos” com a gangue LockBit, que foi alvo de uma operação de desmantelamento conduzida por autoridades dos Estados Unidos no ano passado. O ransomware SuperBlack é baseado no construtor vazado do malware usado em ataques do LockBit 3.0. Além disso, o bilhete de resgate utilizado pelo Mora_001 inclui o mesmo endereço de contato empregado pela LockBit.
