La amenaza de Mora_001 y su conexión con LockBit
Recientemente, investigadores de seguridad han alertado sobre un grupo de hackers conocido como Mora_001, que está aprovechando vulnerabilidades en los firewalls de Fortinet para desplegar ransomware en diversas redes corporativas. Este grupo, vinculado a la infame banda de ransomware LockBit, ha sido objeto de un informe publicado por Forescout Research, donde se detalla cómo están utilizando estas fallas para infiltrarse en las redes de las empresas.
Una de las vulnerabilidades más críticas, identificada como CVE-2024-55591, ha sido explotada desde diciembre de 2024, permitiendo a los atacantes acceder a las redes de los clientes de Fortinet. Además, se ha identificado una segunda vulnerabilidad, CVE-2025-24472, que también está siendo utilizada por Mora_001 en sus ataques. Fortinet lanzó parches para ambas vulnerabilidades en enero, pero muchos sistemas aún no han sido actualizados, lo que deja a las empresas vulnerables a estos ataques.
El modus operandi de Mora_001
Según Sai Molige, gerente senior de caza de amenazas en Forescout, se han investigado al menos tres incidentes en diferentes empresas, aunque se sospecha que podrían existir más. En uno de los casos confirmados, se observó que el atacante cifraba de manera selectiva servidores de archivos que contenían datos sensibles. Este enfoque se alinea con una tendencia reciente entre los operadores de ransomware, que priorizan el robo de datos sobre la mera interrupción de servicios.
El ransomware utilizado por Mora_001, denominado SuperBlack, se basa en un constructor filtrado que fue utilizado en ataques de LockBit 3.0. Además, la nota de rescate utilizada por Mora_001 incluye la misma dirección de mensajería que la banda LockBit, lo que sugiere una conexión directa entre ambos grupos. Molige indica que esto podría significar que Mora_001 es un afiliado actual con métodos operativos únicos o un grupo asociado que comparte canales de comunicación.
Consecuencias y recomendaciones para las empresas
Stefan Hostetler, jefe de inteligencia de amenazas en Arctic Wolf, ha señalado que los hallazgos de Forescout sugieren que los hackers están dirigiéndose a las organizaciones que no pudieron aplicar los parches o endurecer sus configuraciones de firewall cuando se divulgó originalmente la vulnerabilidad. Esto pone de manifiesto la importancia de mantener actualizados los sistemas de seguridad y de realizar auditorías regulares para identificar y mitigar posibles riesgos.
Las empresas deben estar en alerta y tomar medidas proactivas para proteger sus redes. Esto incluye la implementación de parches de seguridad tan pronto como estén disponibles, la capacitación de los empleados sobre las mejores prácticas de ciberseguridad y la realización de pruebas de penetración para identificar vulnerabilidades antes de que puedan ser explotadas por atacantes malintencionados.