Une nouvelle opération de ransomware nommée Mora_001 exploite deux vulnérabilités critiques dans les pare-feux Fortinet. Cette menace, liée au groupe LockBit, met en danger des infrastructures sensibles malgré la publication de correctifs.
Depuis le début de l’année, une nouvelle campagne de ransomware appelée Mora_001 inquiète les experts en cybersécurité. Le groupe exploite deux vulnérabilités majeures dans les pare-feux Fortinet, identifiées sous CVE-2024-55591 et CVE-2025-24472. La Cybersecurity and Infrastructure Security Agency (CISA) a réagi rapidement en janvier, ordonnant aux agences fédérales de corriger la première faille dans un délai d’une semaine seulement — un des délais les plus courts jamais imposés. Malgré la publication des correctifs, les attaques se multiplient. Des chercheurs ont découvert que Mora_001 utilise un ransomware baptisé SuperBlack, une variante modifiée de LockBit 3.0. Ce groupe semble maîtriser les tactiques héritées de LockBit tout en adaptant ses méthodes pour contourner les dispositifs de sécurité.
Une exploitation des failles fortinet
En janvier, la CISA a ordonné une correction immédiate de la faille CVE-2024-55591 après avoir constaté son exploitation active dans des environnements critiques. Fortinet a rapidement confirmé la vulnérabilité, avant de mettre à jour son alerte en y ajoutant CVE-2025-24472.
Les intrusions ont commencé à la fin du mois de janvier, avec une intensification notable à partir du 2 février. Mora_001 cible principalement les interfaces de gestion des pare-feux Fortigate visibles depuis internet. Une fois le système compromis, le ransomware SuperBlack est rapidement déployé.
Le groupe a adopté une stratégie d’attaque en plusieurs étapes : infiltration par exploitation des failles, prise de contrôle des pare-feux, chiffrement des fichiers critiques et exfiltration des données. Les attaquants laissent ensuite une note de rançon, exigeant une somme importante pour restaurer l’accès aux systèmes. Le groupe exploite ces failles depuis fin janvier. Les attaques ciblent des organisations qui n’ont pas appliqué les mises à jour de sécurité ou qui présentent des configurations de pare-feu vulnérables.
« Mora_001 exploite une combinaison de méthodes opportunistes et de tactiques sophistiquées héritées de LockBit. »
SuperBlack : une variante de LockBit 3.0
Le ransomware SuperBlack déployé par Mora_001 est directement inspiré de LockBit 3.0 (aussi appelé LockBit Black). Des similitudes dans la structure du chiffrement, le processus d’exfiltration des données et le contenu de la note de rançon.
La principale différence réside dans la personnalisation du code. Mora_001 a retiré toutes les références à LockBit dans la note de rançon. Les attaquants utilisent également un exécutable d’exfiltration de données sur mesure, conçu pour automatiser le transfert d’informations vers des serveurs externes.
La fuite du builder LockBit 3.0 en 2022 a permis à plusieurs groupes cybercriminels de développer leurs propres variantes de ransomware. Mora_001 semble avoir intégré des éléments techniques issus de LockBit, tout en adoptant des pratiques utilisées par d’autres groupes comme BlackCat/ALPHV.
Les méthodes employées par Mora_001 montrent une capacité d’adaptation impressionnante. Les attaquants utilisent des techniques connues tout en introduisant de nouvelles méthodes d’infiltration. Cette flexibilité rend les détections traditionnelles plus difficiles.
« Le ransomware SuperBlack combine la puissance du chiffrement de LockBit avec une nouvelle approche d’exfiltration de données. »
Des liens avec LockBit
Mora_001 ne cache pas son héritage. Les experts ont identifié plusieurs indices techniques reliant le groupe à l’écosystème LockBit. Le code du ransomware, le modèle de chiffrement et la structure des notes de rançon rappellent fortement LockBit 3.0.
Les chercheurs de Forescout estiment que Mora_001 pourrait être une cellule indépendante affiliée à LockBit, ou un groupe utilisant simplement le code du builder LockBit 3.0. L’analyse des communications entre les attaquants montre également une proximité avec des canaux utilisés par LockBit.
L’adoption de tactiques utilisées par BlackCat/ALPHV renforce la thèse d’une coopération ou d’un échange de pratiques entre ces groupes. Cette convergence des méthodes complique la réponse des équipes de cybersécurité.
Mora_001 exploite d’abord une vulnérabilité dans le pare-feu Fortinet pour obtenir un accès initial. Une fois l’accès établi, le ransomware SuperBlack est déployé. Le chiffrement des fichiers est rapide, souvent terminé en quelques minutes. Les attaquants laissent une note de rançon personnalisée et lancent le processus d’exfiltration des données vers des serveurs externes.
L’exécutable utilisé pour l’exfiltration est difficile à détecter car il masque son activité en utilisant des processus légitimes du système. Les attaquants suppriment également les journaux de sécurité pour compliquer la traçabilité. Le groupe utilise des techniques d’accès similaires à celles de LockBit, mais avec une exécution plus rapide. L’infiltration initiale est souvent indétectable jusqu’au déclenchement du processus de chiffrement.
Une menace persistante
Malgré la publication des correctifs par Fortinet, les attaques se poursuivent. Certaines organisations n’ont pas encore appliqué les mises à jour ou présentent des failles de configuration dans leurs pare-feux. DataSecurityBreach.fr recommande une correction immédiate des vulnérabilités et un renforcement des configurations de sécurité. La surveillance des accès réseau et la limitation des connexions aux interfaces de gestion sont des mesures essentielles pour réduire le risque d’attaque.
Les experts s’attendent à ce que Mora_001 adapte encore son mode opératoire dans les mois à venir. Le succès initial de cette campagne pourrait encourager d’autres groupes à adopter des tactiques similaires. Dernier point, alors que plusieurs membres importants de LockBit, comme l’un des administrateurs extradé aux USA en mars 2025, l’ombre de LockBit continue de roder sous d’autres formes !