В современном мире киберугрозы становятся все более изощренными, и одним из последних примеров такого развития является вирус-вымогатель SuperBlack. Этот новый вирус был создан группой киберпреступников, известной как Mora_001, и находит свое призвание в эксплуатации уязвимостей в системах безопасности Fortinet. В этой статье мы будем углубляться в детали SuperBlack, его методы работы и потенциальные меры защиты. Что такое SuperBlack? SuperBlack — это ransomware, который активизировался в начале 2025 года, используя две ключевые уязвимости Fortinet: CVE-2024-55591 и CVE-2025-24472. Обе эти уязвимости являются ошибками обхода аутентификации и дают злоумышленникам возможность получить несанкционированный доступ к устройствам, таким как межсетевые экраны FortiGate.
Первое упоминание об уязвимости CVE-2024-55591 состоялось в январе 2024 года, когда Fortinet подтвердил, что эта уязвимость была использована в атаках как нулевой день с ноября 2024 года. Несмотря на отдельные разногlasия по поводу второй уязвимости, которая была добавлена в обновление в феврале 2025 года, исследователи безопасности, такие как Forescout, обнаружили, что SuperBlack активно использует обе уязвимости для атак на организации. Как работает SuperBlack? Этапы атаки: Методы, которые использует Mora_001, включают структурированную схемную атаку, с последовательными этапами: 1. Получение привилегий администратора: Атакующие используют уязвимости Fortinet для получения прав "super_admin" через веб-интерфейс. 2.
Создание новых учетных записей: После получения привилегий злоумышленники создают новые учетные записи администратора и изменяют задачи автоматизации, чтобы восстановить их в случае удаления. 3. Картирование сети: С помощью украденных учетных данных VPN и новых учетных записей Mora_001 перемещается по сети, используя такие методы, как Windows Management Instrumentation (WMIC) и SSH. 4. Кража данных: Злоумышленники используют специфические инструменты для сбора информации, после чего приступают к шифрованию файлов на целевых системах.
5. Двойное вымогательство: После шифрования файлов создается вымогательская записка. Также используется специальный инструмент под названием WipeBlack, который удаляет все следы выполнения вируса, затрудняя последующий анализ. Связь с LockBit Интересно, что Forescout обнаружил сильные связи между SuperBlack и известным вирусом LockBit. Наиболее заметным является то, что шифратор SuperBlack основан на утеченном билдере LockBit 3.
0, что свидетельствует об их схожей архитектуре и методах шифрования. Более того, в вымогательской записке SuperBlack содержится идентификатор чата TOX, связанный с операциями LockBit, что ведет к предположению о том, что Mora_001 может быть бывшим партнером LockBit или его членом, занимающимся переговорами по выкупу. Как защитить свою организацию? С учетом актуальности угроз, таких как SuperBlack, организациям необходимо принять меры для защиты своих систем. Вот несколько рекомендаций: 1. Регулярно обновляйте программное обеспечение: Убедитесь, что все устройства и программное обеспечение регулярно обновляются и патчатся, особенно если ваш бизнес использует решения Fortinet.
Этот шаг может существенно снизить риск эксплуатации известных уязвимостей. 2. Мониторинг активности: Установите системы мониторинга, которые могут предупредить вас о подозрительной активности в сети. Это может помочь обнаружить вторжения до того, как произойдет значительный ущерб. 3.
Проведение тренировок по безопасности: Обучайте сотрудников методам обеспечения кибербезопасности и информируйте их о текущих угрозах, таких как ransomware, чтобы они могли действовать профилактически. 4. Резервное копирование данных: Регулярное создание резервных копий данных является ключевым элементом стратегии безопасности. Убедитесь, что резервные копии хранятся в изолированных местах, чтобы злоумышленники не могли к ним получить доступ. 5.
Использование многофакторной аутентификации: Это поможет значительно повысить уровень защиты доступа в вашей организации, даже если злоумышленники получат учетные данные. Заключение Атаки с использованием вирусов-вымогателей, таких как SuperBlack, подчеркивают важность готовности и проактивного подхода к кибербезопасности. Понимание методов, используемых злоумышленниками, и применение мер предосторожности, таких как регулярные обновления и обучение сотрудников, могут существенно повысить защиту ваших систем. Следите за обновлениями в области безопасности и оставайтесь на шаг впереди угроз.
