لاحظ باحثو الأمن المتسللين المرتبطين بعصابة Lockbit سيئة السمعة التي تستغل زوجًا من نقاط الضعف في جدار الحماية في Fortinet لنشر برامج Ransomware على العديد من شبكات الشركة.
في تقرير نُشر الأسبوع الماضي ، قال باحثو الأمن في Forescout Research إن مجموعة تتبعها تطلق عليها اسم “MORA_001” تستغل جدران Fortinet Firewalls ، التي تجلس على حافة شبكة الشركة وتعمل كحارس بوابة رقمي ، لكسر سلالة رانسومواري مخصصة وتنشرها “Superblack”.
تم استغلال واحدة من نقاط الضعف ، التي تم تتبعها كـ CVE-2014-55591 ، في الهجمات الإلكترونية لخرق شبكات الشركات لعملاء Fortinet منذ ديسمبر 2024. ويقول Forescout ، كما تم استغلال الأخطاء الثانية ، تم تعقبها باسم CVE-2025-24472 ، بواسطة MORA_001. أصدرت Fortinet بقع لكلا الأخطاء في يناير.
أخبر ساي موليج ، كبير المديرين لصيد التهديدات في فورسكوت ، TechCrunch أن شركة الأمن السيبراني “حققت ثلاثة أحداث في شركات مختلفة ، لكننا نعتقد أنه يمكن أن يكون هناك آخرين”.
في أحد التسلل المؤكد ، قالت Forescout إنها لاحظت أن المهاجم “بشكل انتقائي” يشفر خوادم الملفات التي تحتوي على بيانات حساسة.
وقال موليج: “تم بدء التشفير فقط بعد عملية التخلص من البيانات ، حيث يتماشى مع الاتجاهات الحديثة بين مشغلي برامج الفدية الذين يعطون أولويات سرقة البيانات على اضطراب خالص”.
يقول Forescout إن ممثل التهديد MORA_001 “يعرض توقيعًا تشغيليًا متميزًا” ، والتي تقول الشركة إنها “علاقات وثيقة” لعصابة Lockbit Ransomware ، التي تعطلت العام الماضي من قبل السلطات الأمريكية. وقال موليج إن فدية Superblack تعتمد على المنشئ الذي تم تسريبه خلف البرامج الضارة المستخدمة في هجمات Lockbit 3.0 ، في حين تتضمن ملاحظة الفدية التي تستخدمها MORA_001 نفس عنوان المراسلة المستخدمة بواسطة Lockbit.
وقال موليج: “يمكن أن يشير هذا الاتصال إلى أن MORA_001 إما تابعة حالية مع طرق تشغيلية فريدة أو قنوات اتصال جماعية مشاركة”.
يخبر Stefan Hostetler ، رئيس شركة التهديدات في شركة Cybersecurity Arctic Wolf ، التي لاحظت سابقًا استغلال CVE-2024-55591 ، TechCrunch أن نتائج Forescout تشير إلى أن المتسللين “يتابعون المنظمات المتبقية التي لم تكن قابلة لتطبيق التصحيح أو تصلب تكوينات حوار الحوار عندما تم الكشف عن الأصل في الأصل”.
يقول Hostetler إن ملاحظة Ransom المستخدمة في هذه الهجمات تحمل أوجه تشابه مع مجموعة مجموعات أخرى ، مثل عصابة Ransomware التي تم انتهاءها الآن.
لم يرد Fortinet على أسئلة TechCrunch.
اكتشاف المزيد من اشراق اون لاين
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
