ناشئة عصابة الفدية قد يكون لهذا استغلال نقاط الضعف في أجهزة جدار الحماية من Fortinet روابط للأعضاء الحاليين أو السابقين في عملية Lockbit سيئة السمعة ، وفقًا للذكاء الذي نشرته هذا الأسبوع من قبل وحدة Vedere Labs في Forescout Research.
يعزى Forescout Superblack إلى ممثل التهديد الذي تم تعقبه باسم MORA_001 ، والذي يعرض توقيعًا تشغيليًا مزجًا هجمات انتهازية مع علاقات مع نظام Lockbit البيئي ، وفقا للباحث ساي موليج.
وكتب Molige وفريق البحث: “إن علاقة MORA_001 مع عمليات الفدية في Lockbit الأوسع نطاقًا تؤكد على زيادة تعقيد المشهد الحديثة في الفدية – حيث تتعاون الفرق المتخصصة للاستفادة من القدرات التكميلية”.
كان MORA_001/Superblack’s Operandi حتى الآن هو التركيز على الاهتمام CVE-2025-24472 و CVE-2014-55591 – زوج من العيوب الالتفافية المصادقة المكتشفة في Fortinet’s Fortios و Fortiproxy – للوصول الأولي.
تتيح مواطن الضعف هذه ممثلًا غير مصدق من الحصول على حقوق المسؤول المتزايدة على الأجهزة التي تدير Fortios مع واجهات إدارة مكشوفة. وقال Forescout إنه تم استغلال استغلال إثبات المفهوم الذي تم إصداره في 27 يناير 2025 في غضون 96 ساعة.
بمجرد وصولها إلى الشبكات المستهدفة ، انتقلت العصابة بشكل جانبي وتحديد أولوياتها مثل المصادقة وخوادم قاعدة البيانات والملفات ووحدات التحكم في المجال وعناصر أخرى من البنية التحتية لشبكة ضحاياها. ثم قاموا بتوضيح البيانات وبدأوا التشفير بعد القيام بذلك في هجوم قياسي إلى حد ما.
التعرف على الأنماط
في ربط mora_001/superblack إلى lockbit – تعطلت مشهور في عملية متعددة الجنسيات تقودها المملكة المتحدة منذ ما يزيد قليلاً عن 12 شهرًا-قال محللو Forescout إنهم لاحظوا عددًا من سلوكيات ما بعد الاستغلال بما يتوافق مع كتاب اللعب في Lockbit.
وشملت هذه أسماء مستخدمين متطابقة على شبكات الضحايا ، وعناوين IP متداخلة المستخدمة للوصول والقيادة والتحكم (C2) ، وسلوكيات النسخ الاحتياطي للتكوين المماثلة ، ونشر البرامج الفدية السريعة ، وغالبًا بعد 48 ساعة فقط في ظل ظروف “مواتية”.
MORA_001/Superblack أيضًا استفاد من منشئ Lockbit الذي تم تسريبه ، مما أدى إلى إزالة العلامة التجارية Lockbit من ملاحظاتها الفدية ونشر أداة الترشيح الخاصة بها.
كان من المقرر العثور على أكثر الأدلة الملموسة في مذكرة فدية العصابة ، والتي تتضمن معرف توكس يستخدمه Lockbit للمفاوضات. وقال Forescout إن هذا اقترح MORA_001 إما تابعًا تشغيليًا لـ Lockbit ، أو مجموعة مشتركة تشترك في قنوات الاتصال مع العصابة.
“لقد مكّنتنا أنماط ما بعد الاستغلال التي تمت ملاحظتها من تحديد توقيع تشغيلي فريد يميز MORA_001 عن مشغلي برامج الفدية الأخرى ، بما في ذلك الشركات التابعة Lockbit” ، كتب الفريق. “يشير هذا الإطار التشغيلي المتسق إلى وجود ممثل تهديد متميز مع كتاب لعب منظم ، بدلاً من العديد من المشغلين بعد منهجية Lockbit المعممة.”
عند تحليل الجدول الزمني للاضطراب MORA_001/Superblack ، بالإضافة إلى المؤشرات المتداخلة والأنماط التشغيلية ، قال Forescout إنه يمكن الآن أن يعزى “بثقة” تدخلات في المستقبل إلى العصابة ، بشكل مستقل عن علاقتها الدقيقة مع Lockbit.
بعد عملية CRONOs التي تقودها الوكالة الوطنية (NCA) ، والتي عطلت Lockbit في فبراير 2024 ، شهد مشهد الفدية تجزئة كبيرة، وزيادة في عدد العصابات التشغيلية ، مما يشير إلى أن عددًا من أعضاء Lockbit Collective متناثرون تحت الضغط وإنشاء عمليات جديدة أو انضموا إليها.
على الرغم من أن هذه الاقتراحات هي مجرد نظريات ، فإن اكتشاف MORA_001/Superblack يضفي ثقلًا معينًا لهم ، ومع تقدم السنة ، يبدو أن إرث Lockbit سيبقى لبعض الوقت.
مزيد من المعلومات حول MORA_001/Superblack ، بما في ذلك التكتيكات والتقنيات والإجراءات (TTPs) ، وفرص الكشف ، ومؤشرات التسوية (IOCS) ، يمكن الحصول عليها من forescout.
