В мире кибербезопасности постоянно появляются новые угрозы, и одной из самых актуальных легионов вымогателей в последнее время является SuperBlack. Специалисты по кибербезопасности из Forescout Research утверждают, что данная группировка, возможно, имеет связь с известной бандой LockBit. В этой статье мы рассмотрим, как SuperBlack использует уязвимости и какие меры можно предпринять для защиты от таких атак. SuperBlack, как утверждают исследователи, связывается с угрозой, зарегистрированной под именем Mora_001. Эта группировка применяет тактики, которые позволяют им использовать уязвимости в программном обеспечении Fortinet, что ставит под угрозу множество организаций.
Исследования выделяют две уязвимости, работающие на устройствах FortiOS и FortiProxy, которые злоумышленники используют для первого шага доступа к сетям жертв: CVE-2025-24472 и CVE-2024-55591. Такие уязвимости предоставляют злоумышленникам возможность получить повышенные права администратора. После успешного вторжения, SuperBlack стремится передвигаться по сети жертвы, ориентируясь на критически важные серверы, такие как базы данных и серверы аутентификации. Зафиксированы случаи, когда злоумышленники сначала эксфильтровали данные, а затем приступали к шифрованию файлов — стандартный алгоритм работы самых традиционных разновидностей программ-вымогателей. Специалисты Forescout выявили ряд операций, которые позволяют связать SuperBlack с LockBit, группе вымогателей, ранее широко известной в киберпространстве.
В частности, они наблюдали совпадения в поведении злоумышленников, используемых учетных записей и IP-адресов, а также схожие методы эффективного развертывания программ-вымогателей. Часть элементов, таких как использование инструментов эксфиляции и идентификаторов TOX для проведения переговоров о выкупе, только укрепляют предположения о связях с LockBit. Подобные связи могут быть ключом к пониманию того, как настроены и организованы современные группы вымогателей. Сегодняшнее киберпространство — это не только конкурирующие индивидумы, но и группы, которые сотрудничают, обмениваются инструментами и методами, создавая более организованные схемы нападения. Тактические элементы SuperBlack демонстрируют, что криминальные группировками языка сходны в методах внедрения и эксплуатации уязвимостей.
Важно отметить, что после операции под названием "Операция Кронос", организованной Национальным агентством по борьбе с преступностью Великобритании, ряд группировок отделился от LockBit и создал свои собственные операции. Это приводит к такому сценарию: члены теперешней централизации могут продолжать свои действия под новыми именами групп, такими как SuperBlack. В условиях увеличения числа таких атак организациям необходимы более эффективные меры предостережения и защиты от вымогателей. Ключевыми шагами в этом контексте служат: 1. Обновление программного обеспечения: Всегда обновляйте ваши системы и устройства, чтобы закрывать уязвимости и минимизировать потенциальные входные точки для злоумышленников.
2. Обучение сотрудников: Регулярно проводите тренинги по кибербезопасности, чтобы повысить осведомленность сотрудников о фишинге и других методах, которые используются для внедрения вредоносных программ. 3. Создание резервных копий данных: Систематически создавайте резервные копии критически важных данных, чтобы иметь возможность восстановить информацию в случае шифрования. 4.
Сегментация сети: Ограничьте доступ к чувствительным системам только авторизованным пользователям. Это поможет ограничить распространение потенциальных атак. 5. Мониторинг сетевой активности: Установите системы, которые отслеживают и анализируют сетевую активность, чтобы быстро реагировать на потенциальные угрозы. Таким образом, SuperBlack представляет собой пример нового этапа в эволюции угроз вымогателей, где старые группировки продолжают влиять на новые.
Установление четкой связи между Mora_001 и LockBit предоставляет важные инсайты для специалистов по безопасности и требует дальнейших исследований и мониторинга. В то время как киберугрозы продолжают перерастать в сложные и многоуровневые сети, организации должны осознавать риски и активно инвестировать в киберзащиту. Даже несмотря на то, что связи SuperBlack с LockBit еще требуют дальнейшего изучения, ясно одно: в современном мире безопасности в сети недостаточно быть лишь проинформированным; необходимо проявлять активные действия для предотвращения атак и защиты активов своей компании.
