- Sicherheitsverhältnisse erkennen eine neue Lockbit -Variante in freier Wildbahn
- Ein potenzieller Partner, der zwei Fortinet -Fehler missbraucht hat, um den Verschlüsselung einzusetzen
- Es gibt mehrere Überlappungen mit Lockbit 3.0
Lockbit -Partner verwenden gefährdete Fortinet -Endpunkte, um Unternehmen mit einer aktualisierten Ransomware Belastung, Experten haben gewarnt.
Cybersecurity-Forscher von Forscout stellten fest, dass der Bedrohungsakteur zwei Schwachstellen in Fortinet Firewalls verwendet, die als CVE-2024-55591 und CVE-2025-24472 verfolgt wurden, um einen aktualisierten Ransomware-Stamm namens Superblack bereitzustellen.
Beide Schwachstellen waren in der Vergangenheit zuvor verwendet worden, und beide wurden im Januar 2025 geflickt. Der beste Weg, sich gegen die Angriffe zu verteidigen, besteht darin, sicherzustellen, dass Ihre Fortinet -Firewalls auf dem neuesten Stand sind.
Mindestens drei Opfer
Forenshout nannte die Gruppe, die die Angriffe „Mora_001“ ausführte. Da seine Taktiken, Techniken und Verfahren (TTP) mit Lockbit einige Überschneidungen haben, glauben die Forscher, dass die Gruppe ein Lockbit -Partner sein könnte.
Anscheinend basiert Superblack auf dem Bauunternehmer, der in Lockbit 3.0 -Angriffen verwendet wurde und in der Vergangenheit durchgesickert ist. Darüber hinaus verwendet die Lösegeldnote in Lockbit- und Mora_001 -Angriffen dieselbe Messaging -Adresse.
Sprechen mit TechcrunchSai Molige, Senior Manager für Bedrohungsjagd bei Forenshout, sagte, es gäbe mindestens drei bestätigte Fälle, fügte jedoch hinzu, dass „es andere geben könnte“.
Lockbit war eine der störendsten und einflussreichsten Ransomware -Gruppen in der Nähe, aber Ende Februar 2024 wurde es vom FBI beeindruckt und wurde nie vollständig erholt. Die Strafverfolgungsbehörden beschlagnahmte ihre Website, die von ihnen gehaltenen Daten und erhielten „Tausende“ von Entschlüsselungsschlüssel.
Es erhielt auch Informationen über seine verbundenen Unternehmen, die zu dieser Zeit rund 200 Gruppen zählten und später die verbundenen Unternehmen aufforderten, sich zu melden. Im Februar dieses Jahres wurde der bulletprobische Hosting -Dienstleister, der angeblich von Lockbit genutzt wurde, von den USA und Großbritannien genehmigt.
Lockbit dauerte ungefähr eine Woche, um wieder auf die Beine zu kommen und Operationen wieder aufzunehmen, aber es ist möglich, dass viele ihrer Partner an andere Gruppen wie Ransomhub oder Medusa geschwenkt haben.
Sie könnten auch mögen
Source link
