Un nouvel opérateur de ransomware nommé « Mora_001 » exploite deux vulnérabilités Fortinet pour obtenir un accès non autorisé aux appliances de pare-feu et déployer une souche de ransomware personnalisée baptisée SuperBlack.
Les deux vulnérabilités, les deux contournements d’authentification, sont CVE-2024-55591 et CVE-2025-24472, que Fortinet a divulguées respectivement en janvier et février.
Lorsque Fortinet a divulgué pour la première fois CVE-2024-55591 le 14 janvier, ils ont confirmé qu’il avait été exploité comme un jour zéro, Arctic Wolf déclarant qu’il avait été utilisé dans des attaques depuis novembre 2024 pour violer les pare-feu FortiGate.
De manière confuse, le 11 février, Fortinet a ajouté CVE-2025-2447 à son avis de janvier, ce qui a amené beaucoup à croire qu’il s’agissait d’une faille nouvellement exploitée. Cependant, Fortinet a déclaré à Breachtrace que ce bogue avait également été corrigé en janvier 2024 et n’avait pas été exploité.
« Nous ne sommes pas au courant que CVE-2025-24472 ait jamais été exploité », a déclaré Fortinet à Breachtrace à l’époque.
Cependant, un nouveau rapport des chercheurs de Forescout indique qu’ils ont découvert les attaques SuperBlack fin janvier 2025, l’acteur de la menace utilisant CVE-2025-24472 dès le 2 février 2025.
« Bien que Forescout lui-même n’ait pas directement signalé l’exploitation de 24472 à Fortinet, l’une des organisations touchées avec lesquelles nous avons travaillé partageait les résultats de notre enquête avec l’équipe PSIRT de Fortinet », a déclaré Forescout à Breachtrace.
« Peu de temps après, Fortinet a mis à jour son avis le 11 février pour reconnaître que CVE-2025-24472 était activement exploité. »
Breachtrace a contacté Fortinet pour clarifier ce point, mais nous attendons toujours une réponse.
Attaques de ransomware super noires
Forescout affirme que l’opérateur de ransomware Mora_001 suit une chaîne d’attaque hautement structurée qui ne varie pas beaucoup d’une victime à l’autre.
Tout d’abord, l’attaquant obtient les privilèges « super_admin » en exploitant les deux failles Fortinet à l’aide d’attaques basées sur WebSocket via l’interface jsconsole ou en envoyant des requêtes HTTPS directes aux interfaces de pare-feu exposées.
Ensuite, ils créent de nouveaux comptes d’administrateur (forticloud-tech, fortigate-firewall, adnimistrator) et modifient les tâches d’automatisation pour les recréer s’ils sont supprimés.
Après cela, l’attaquant mappe le réseau et tente un mouvement latéral en utilisant des informations d’identification VPN volées et des comptes VPN nouvellement ajoutés, Windows Management Instrumentation (WMIC) et SSH, et l’authentification TACACS+/RADIUS.
Mora_001 vole des données à l’aide d’un outil personnalisé avant de crypter des fichiers pour une double extorsion, en donnant la priorité aux serveurs de fichiers et de bases de données et aux contrôleurs de domaine.
Après le processus de cryptage, les notes de rançon sont déposées sur le système de la victime. Un essuie-glace personnalisé appelé « Wipe Black » est ensuite déployé pour supprimer toute trace d’exécutable de ransomware afin d’entraver l’analyse médico-légale.
Lien de Super Black pour verrouiller le bit
Forescout a trouvé de nombreuses preuves indiquant des liens étroits entre l’opération de ransomware Super Black et le ransomware LockBit, bien que le premier semble agir indépendamment.
Le premier élément est que le crypteur Super Black [VirusTotal] est basé sur le générateur de fuites Lockbits 3.0, avec une structure de charge utile et des méthodes de cryptage identiques, mais toutes les marques originales seront rayées.
Deuxièmement, la note de rançon de SuperBlack inclut un identifiant de discussion TOX lié aux opérations de LockBit, suggérant que Mora_001 est soit un ancien affilié de LockBit, soit un ancien membre de son équipe principale gérant les paiements de rançon et les négociations.
Le troisième élément suggérant un lien est l’étendue des chevauchements d’adresses IP avec les opérations précédentes sur les bits de verrouillage. En outre, Wipe Black a également été exploité par le ransomware Brain Cipher, le Ransomware Estate et le ransomware SenSayQ, tous liés à LockBit.
Forescout a partagé une longue liste d’indicateurs de compromission (IoC) liés aux attaques de ransomware Super Black au bas de son rapport.