La firma de seguridad Forescout ha descubierto la existencia de una nueva cepa de ransomware llamado SuperBlack, que se encontraría detrás de una serie de intrusiones basadas en dos vulnerabilidades de firewalls Fortinet.
La compañía ha atribuido estas intrusiones a un actor de amenazas que han bautizado con el nombre de Mora_001, usando la mitología eslava para denominarlo, ya que este cibermalo usa artefactos en ruso.
Sus investigadores han encontrado vínculos entre esta pandilla y LockBit 3.0, como en la nota de rescate, que es casi idéntica. El grupo ha estado usando este ransomware en campañas llevadas a cabo entre finales de enero y marzo de 2025, atacando las vulnerabilidades CVE-2024-55591 y CVE-2025-24472.
La primera es una vulnerabilidad crítica de omisión de autenticación remota que afecta a FortiOS en las versiones 7.0.0 a 7.0.16 y a FortiProxy en las versiones 7.0.0 a 7.0.19 y 7.2.0 a 7.2.12.
Por su parte, CVE-2025-24472 es otra vulnerabilidad de día cero relacionada con la omisión de autenticación en FortiOS/FortiProxy, que afecta a las mismas versiones de productos y fue reportada a Fortinet por víctimas de un ataque investigado por Forescout.
Los atacantes priorizaron servidores de archivos, servidores de autenticación, controladores de dominio, servidores de bases de datos y otros objetivos de alto valor con el fin de maximizar el impacto de la encriptación y la doble extorsión.
SuperBlack es una variante del generador de LockBit 3.0, también conocida como LockBit Black que se filtró en 2022.
Los investigadores de Forescout señalaron que el ID de chat incluido en la nota aún está vinculado al infame grupo de ransomware, lo que sugiere que Mora_001 podría ser un antiguo afiliado o compartir parte de la infraestructura de LockBit.
Más conexiones
Por otro lado, Forescout también detectó posibles vínculos con otros grupos de ransomware. El componente de eliminación de rastros, denominado WipeBlack, ha sido utilizado en ataques previos asociados con LockBit y BrainCipher. BrainCipher, a su vez, está conectado con otros grupos como SenSayQ, EstateRansomware y RebornRansomware.
“Mora_001 y su relación con las operaciones más amplias de LockBit resaltan la creciente complejidad del panorama del ransomware moderno, donde equipos especializados colaboran para aprovechar sus capacidades complementarias”, ha señalado la firma de seguridad.