Threats
Grupo Mora_001 utiliza vulnerabilidades para comprometer redes e executar ataques de ransomware
17/03/2025
|
A empresa de segurança Forescout identificou um grupo de cibercriminosos russo, rastreado como Mora_001, que tem explorado vulnerabilidades críticas para lançar ataques de ransomware. A atividade do grupo envolve a criação de variantes do LockBit através de um construtor divulgado indevidamente para desenvolver um novo ransomware denominado SuperBlack. A Forescout aponta que Mora_001 mantém ligações com gangues de ransomware estabelecidas, com base nos seus métodos de exploração e no uso de identificadores do LockBit. Os cibercriminosos têm explorado as falhas CVE-2024-55591 e CVE-2025-24472, que permitem a obtenção de privilégios elevados em sistemas vulneráveis. A Fortinet disponibilizou correções para a primeira vulnerabilidade em janeiro e alertou para a sua exploração ativa como zero day e, posteriormente, atualizou as informações em fevereiro para incluir a segunda falha, que abrange um vetor de ataque adicional. Poucos dias após a publicação de uma proof-of-concept (PoC) direcionada a sistemas afetados, a Forescout observou o grupo de cibercriminosos a utilizá-la em ataques reais. Após comprometer um sistema, o grupo cria contas administrativas locais para estabelecer persistência e descarregar ficheiros críticos de configuração. Os atacantes modificam definições do sistema e implementam scripts de automatização para restaurar o acesso privilegiado caso seja removido. Além disso, o grupo tem sido visto a criar contas VPN e a explorar ferramentas de gestão remota para conhecimento da rede com objetivo de procurar oportunidades para movimento lateral dentro das infraestruturas das vítimas. Os ataques concentram-se em comprometer servidores e controladores de domínio, com o grupo Mora_001 a utilizar WMIC e SSH para descoberta e acesso remoto. O ransomware SuperBlack é ativado apenas após exfiltração de dados, priorizando servidores de ficheiros com informações sensíveis. Em vez de encriptar toda a rede, os atacantes selecionam estrategicamente os sistemas mais valiosos para maximizar o impacto do ataque. O SuperBlack diferencia-se do LockBit 3.0 por descartar uma nota de resgate modificada e utilizar um novo executável de exfiltração de dados. Contudo, inclui um componente denominado WipeBlack que remove vestígios do ransomware após a encriptação, dificultando a deteção e análise do ataque. |
Receba todas as novidades na sua caixa de correio!
THREATS
Milhares de sites WordPress comprometidos com malware DollyWay
PODCAST
Eleições e NIS2: o impasse na transposição da diretiva em destaque no mais recente episódio do IT Security Watch
ANALYSIS
Cibersegurança com peso significativo nas adjudicações do setor público em Portugal
ITECH
Google lança nova versão do scanner de vulnerabilidades open source
ANALYSIS
Mais de 3,2 mil milhões de credenciais comprometidas durante 2024
THREATS
Ferramenta eleva stuffing de credenciais a larga escala
THREATS
Três em cada quatro utilizadores empresariais partilham dados sensíveis com aplicações de IA generativa
THREATS
Google corrige falha crítica no Chrome após campanha de ciberespionagem contra organizações russas
THREATS
Vulnerabilidades críticas em Kubernetes abrem caminho à exposição de clusters
THREATS
Detetada atividade de ciberespionagem contra entidade europeia
