Cibersegurança Avançada

Novo ransomware SuperBlack explora vulnerabilidades da Fortinet para ataques sofisticados

O ransomware SuperBlack, operado pelo grupo Mora_001, está explorando vulnerabilidades da Fortinet para comprometer firewalls e realizar ataques sofisticados. A análise aponta ligação com o LockBit e destaca um processo estruturado de invasão e criptografia.

14/03/2025 07:30

Um novo grupo de ameaças, identificado como Mora_001, está explorando vulnerabilidades em firewalls da Fortinet para implantar um ransomware chamado SuperBlack. O ataque se baseia em falhas de autenticação recentemente divulgadas, permitindo acesso não autorizado a dispositivos comprometidos.

SuperBlack: Novo ransomware explora vulnerabilidades da Fortinet

As falhas exploradas pelo SuperBlack incluem as vulnerabilidades CVE-2024-55591 e CVE-2025-24472. A Fortinet divulgou inicialmente o CVE-2024-55591 em janeiro de 2025, confirmando sua exploração como um zero-day. Posteriormente, em fevereiro, a empresa adicionou o CVE-2025-24472 ao mesmo comunicado, gerando confusão sobre sua exploração ativa.

Pesquisadores da Forescout descobriram ataques utilizando o CVE-2025-24472 desde o início de fevereiro de 2025. Embora a Fortinet tenha inicialmente negado a exploração dessa vulnerabilidade, a empresa posteriormente reconheceu seu uso ativo em ataques.

Como o ransomware SuperBlack age

O operador do SuperBlack segue uma abordagem meticulosa e estruturada:

Ganho de acesso – O invasor utiliza ataques via WebSocket ou solicitações HTTPS diretas para explorar as vulnerabilidades e obter credenciais de super administrador.
Criação de contas persistentes – Novas contas administrativas são criadas (exemplo: forticloud-tech, fortigate-firewall, adnimistrator) e automatizadas para garantir a permanência.
Movimentação lateral – O ataque se expande para outras máquinas por meio de credenciais VPN comprometidas, WMIC, SSH e autenticação TACACS+/RADIUS.
Roubo de dados – Antes da criptografia, dados sensíveis são exfiltrados para aumentar a pressão sobre as vítimas.
Criptografia e extorsão – Servidores de arquivos e bancos de dados são priorizados na criptografia para forçar o pagamento do resgate.
Autodestruição do malware – O “WipeBlack” é executado para eliminar rastros e dificultar a análise forense.

Possível ligação com LockBit

A Forescout encontrou evidências que associam o SuperBlack ao LockBit, um dos grupos de ransomware mais notórios. A análise revelou que:

O criptografador do SuperBlack tem estrutura idêntica ao LockBit 3.0, baseada em um construtor vazado.
A nota de resgate do SuperBlack contém um ID de bate-papo TOX vinculado ao LockBit, sugerindo um laço direto.
Endereços IP usados nas operações do SuperBlack já foram associados a ataques do LockBit.
O “WipeBlack” também foi utilizado por ransomware ligados ao LockBit, como BrainCipher e SenSayQ.

Medidas de proteção

Para evitar ataques do SuperBlack, empresas devem:

Aplicar correções – Atualizar firewalls Fortinet imediatamente.
Monitorar acessos – Implementar logs robustos para identificar tentativas de invasão.
Reduzir exposição – Restringir acessos externos desnecessários e usar autenticação multifator.
Treinar equipes – Sensibilizar colaboradores sobre ameaças de phishing e credenciais comprometidas.

A Forescout publicou uma lista detalhada de indicadores de comprometimento (IoCs) para auxiliar organizações na detecção de ataques do ransomware SuperBlack.

Jardeson Márcio

Mais Notícias

Mais artigos

Imagem de caveira e chave representando o Ransomware

Cibersegurança global

Falha crítica no Windows facilita ataque com ransomware PipeMagic

Uma falha crítica no CLFS do Windows permitiu que o trojan PipeMagic fosse usado para distribuir ransomware em ataques direcionados a setores estratégicos, explorando a vulnerabilidade CVE-2025-29824.

Vulnerabilidades críticas em switches Moxa permitem acesso não autorizado

Segurança cibernética

Ataques com malware de criptomoeda se espalham por softwares falsos no SourceForge

Cibercriminosos usam páginas falsas no SourceForge para espalhar malwares de criptomoeda disfarçados de softwares crackeados, atingindo principalmente usuários russos.

nova-variante-de-botnet-mirai-mira-em-vulnerabilidades-em-servidores-baseados-em-linux-e-dispositivos-iot

Segurança digital

Ataques Mirai visam DVR TVT e ampliam rede de bots

Nova botnet baseada no Mirai está explorando uma vulnerabilidade nos DVRs TVT NVMS9000, visando transformar os dispositivos em nós para ataques DDoS, proxies maliciosos e mineração. Alvo principal inclui EUA e Europa.

Código inseguro

Extensões maliciosas no VSCode disfarçam mineração de criptomoedas

Pesquisadores identificam nove extensões no VSCode Marketplace que, ao invés de ajudarem desenvolvedores, instalam um minerador de criptomoedas escondido no sistema.

Segurança digital

Pacote malicioso no PyPI explora WooCommerce para validar cartões roubados

Um pacote malicioso chamado 'disgrasya' foi baixado mais de 34 mil vezes no PyPI para validar cartões roubados via lojas WooCommerce. A ameaça mostra a crescente sofisticação dos ataques de carding automatizados.

Ameaça digital

Microsoft alerta sobre golpes fiscais via e-mail usando PDFs e códigos QR para espalhar malware

Microsoft identifica campanhas de phishing explorando temas tributários para distribuir malware via e-mails falsos. Códigos QR e PDFs maliciosos redirecionam vítimas para roubo de credenciais e instalação de trojans.