Ransomware-Gruppe nutzt Sicherheitslücken in Fortinet-Firewalls aus
Die Ransomware-Gruppe Mora_001 nutzt gezielt Sicherheitslücken bei Fortinet aus, um ihre Ransomware "Superblack" zu verbreiten. Dabei stehlen sie Daten, verschlüsseln Dateien und hinterlassen Lösegeldforderungen.
Eine Ransomware-Gruppe namens Mora_001 treibt ihr Unwesen und greift gezielt Schwachstellen in Fortinet-Firewalls an. Ziel dabei ist die Verbreitung der neuen Ransomware-Variante "Superblack", wie "Bleepingcomputer" berichtet. Die Bande nutze mittels der Ransomware die zwei Sicherheitslücken CVE-2024-55591 und CVE-2025-24472 aus, die Fortinet im Januar und Februar bekannt gab. Die Ausnutzung dieser beiden Schwachstellen ermögliche es den Angreifern, eine Authentifizierung zu umgehen.
Der Verschlüsselungsprozess
Indem sich Mora_001 die beiden Sicherheitslücken zunutze macht, verschafft sich die Gruppe zunächst Super-Admin-Rechte. So könne sie dann neue Adminkonten erstellen und Automatisierungsaufgaben ändern, um den Zugriff auf die Konten sicherzustellen. Daraufhin versuchen die Angreifer laut "Bleepingcomputer", gestohlene oder neu erstellte VPN-Zugänge sowie verschiedene Zugriffs- und Verwaltungswerkzeuge zu nutzen, um sich im jeweiligen Netzwerk weiter auszubreiten.
Bevor die Ransomware-Bande Dateien mit dem Ziel einer Erpressung verschlüsselt, stiehlt sie Daten mithilfe eines benutzerdefinierten Tools. Nach der Verschlüsselung hinterlegt die Gruppe laut Bericht Lösegeldforderungen auf dem System des Opfers. Zuletzt würde ein speziell entwickeltes Wiper-Tool die Spuren der Ransomware beseitigen, um eine Nachverfolgung des Angriffs zu erschweren.
Mögliche Verbindung zu Lockbit
Laut "Bleepingcomputer" gibt es zudem Hinweise auf eine Verbindung zwischen der Superblack- und der Lockbit-Ransomware. Superblack basiere auf dem durchgesickerten Lockbit-3.0-Builder und verwende dieselbe Nutzlaststruktur sowie ähnliche Verschlüsselungsmethoden wie Lockbit. Des Weiteren deute eine Tox-Chat-ID in den Lösegeldforderungen auf eine Verbindung zu Lockbit hin. Zudem gibt es laut Bericht Überschneidungen bei den IP-Adressen mit früheren Lockbit-Aktivitäten.
Vergangenes Jahr haben die Ransomware-Attacken wieder einen neuen Höchstwert erreicht, wie der Ransomware Report 2024 von Check Point zeigt. Lesen Sie hier mehr über den Anstieg der Anschläge durch Ransomware-Gruppen und weshalb diese trotz erfolgreichen Polizeiaktionen zunehmen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Einladung zum Webinar: Schwachstellen im IAM erkennen und vorbeugen
Manipulierte KI-Anleitungen verleiten MacOS-User zum Download eines Infostealers
Apple und Google schlagen Alarm bei Spyware-Angriffen
KI-Agenten unterstützen auch Cyberkriminelle
Betrüger werfen Jobangebote als Köder aus
Gefälschte Abo‑Kündigungen kommen Opfer teuer zu stehen
Was an Grösse fehlt, machen sie durch Niedlichkeit wett
Update: Parlament spricht mehr Mittel für das Bundesamt für Cybersicherheit
Deepfakes und KI prägen das Jahr 2026
