Forescout Research’in Vedere Labs birimi tarafından yayınlanan istihbaratlara göre, Fortinet güvenlik duvarı cihazlarında iki güvenlik açıkından yararlanan ortaya çıkan bir fidye yazılımı çetesi, bu hafta yayınlanan istihbaratlara göre, kötü şöhretli kilitbit operasyonunun mevcut veya eski üyelerine bağlantılara sahip olabilir.
Araştırmacı Sai Molige’ye göre, Forescout, Superblack’ı Mora_001 olarak izlenen bir tehdit oyuncusuna atfetiyor, bu da Lockbit ekosistemiyle bağlarla farklı bir operasyonel imza fırsatı gösteren fırsatçı saldırılar sergiliyor.
Molige ve araştırma ekibinin, “MORA_001’in daha geniş Lockbit’in fidye yazılımı operasyonlarıyla ilişkisi, özel ekiplerin tamamlayıcı yeteneklerden yararlanmak için işbirliği yapmak için işbirliği içinde olan modern fidye yazılımı manzarasının artan karmaşıklığının altını çiziyor” diye yazdı.
MORA_001/Superblack’in Modus operandi bugüne kadar dikkati CVE-2025-24472 ve CVE-2024-55591’e odaklamak oldu-Fortinet’in Fortios ve Fortiproxy’de keşfedilen bir çift kimlik doğrulama baypası kusuru-ilk erişim için.
Bu güvenlik açıkları, kimlik doğrulanmamış bir aktörün maruz kalan yönetim arayüzleriyle Fortios’u çalıştıran cihazlarda artan yönetici hakları kazanmasını sağlar. Forescout, 27 Ocak 2025’te yayınlanan bir kavram kanıtı istismarının 96 saat içinde kullanıldığını söyledi.
Hedef ağlarına girdikten sonra çete yanal olarak hareket etti ve kimlik doğrulama, veritabanı ve dosya sunucuları, alan denetleyicileri ve kurbanlarının ağ altyapısının diğer unsurları gibi hedeflere öncelik verdi. Daha sonra verileri ortaya çıkardılar ve oldukça standart bir fidye yazılımı saldırısında bunu yaptıktan sonra şifreleme başlattılar.
Kalıp tanıma
MORA_001/Superblack’ı 12 ay önce İngiltere liderliğindeki çok uluslu bir operasyonda ünlü olarak bozulan Lockbit’e bağlarken Forescout’un analistleri, Lockbit’in oyun kitabıyla tutarlı bir dizi sömürme sonrası davranışını gözlemlediklerini söylediler.
Bunlar, mağdur ağlardaki aynı kullanıcı adlarını, erişim ve komut ve kontrol (C2) için kullanılan örtüşen IP adreslerini, benzer yapılandırma yedekleme davranışlarını ve hızlı fidye yazılımları dağıtımını, genellikle “uygun” koşullar altında sadece 48 saat sonra içeriyordu.
MORA_001/Superblack ayrıca sızdırılmış Lockbit Builder’dan yararlandı, Lockbit markasını fidye notlarından çıkardı ve kendi exfiltrasyon aracını dağıttı.
En somut kanıt, Lockbit tarafından müzakereler için kullanılan bir Tox ID’yi içeren çetenin fidye notunda bulunacaktı. Forescout, bunun önerdiği MORA_001’in ya Lockbit’in operasyonel bir iştiraki veya iletişim kanallarını çeteyle paylaşan bir ortak grup olduğunu söyledi.
Ekip, “Gözlenen sömürü sonrası kalıplar, MORA_001’i kilitbit iştirakleri de dahil olmak üzere diğer fidye yazılım operatörlerinden ayıran benzersiz bir operasyonel imza tanımlamamızı sağladı” diye yazdı. “Bu tutarlı operasyonel çerçeve, genelleştirilmiş bir Lockbit metodolojisini takiben birden fazla operatör yerine yapılandırılmış bir oyun kitabına sahip farklı bir tehdit oyuncusu öneriyor.”
MORA_001/Superblack Intrajions’ın zaman çizelgesini, üst üste binen göstergeleri ve operasyonel kalıpları analiz ederken, Forescout, şimdi Lockbit ile kesin ilişkisinin ne olabileceğinden bağımsız olarak gelecekteki müdahaleleri çeteye “güvenle” atfedebileceğini söyledi.
Şubat 2024’te Lockbit’i bozan Ulusal Suç Ajansı (NCA) LED CRONOS Operasyonu’ndan sonra, fidye yazılımı manzarası önemli bir parçalanma ve operasyonel çetelerin sayısında bir artış gördü, bu da kilitbit kolektifinin bir dizi üyesinin basınç altında dağıldığını ve yeni operasyonları kurduğunu veya birleştirdiğini gösteriyor.
Bu öneriler sadece teoriler olmasına rağmen, MORA_001/Superblack’in keşfi kendilerine belirli bir ağırlık kazandırıyor ve yıl ilerledikçe, Lockbit’in mirası bir süre kalmaya hazır görünüyor.
Taktikler, teknikler ve prosedürler (TTP’ler), algılama fırsatları ve uzlaşma göstergeleri (IOC’ler) dahil olmak üzere MORA_001/SuperBlack hakkında daha fazla bilgi Forescout’tan elde edilebilir.