Hackers Mora_001 explotan vulnerabilidades de Fortinet para ransomware

La amenaza cibernética del grupo Mora_001: un nuevo capítulo en la lucha contra el ransomware

La ciberseguridad se ha convertido en una de las preocupaciones más apremiantes para las empresas en la era digital. Recientemente, investigadores de seguridad han identificado un nuevo grupo de hackers conocido como Mora_001, que ha estado utilizando vulnerabilidades en los cortafuegos de Fortinet para llevar a cabo ataques de ransomware. Este fenómeno no solo destaca la creciente sofisticación de los delincuentes cibernéticos, sino también la importancia crítica de mantener actualizados los sistemas de seguridad.

La explotación de vulnerabilidades en cortafuegos

Los cortafuegos de Fortinet, que son fundamentales para proteger las redes corporativas, han sido objeto de un uso malintencionado por parte de los atacantes. Según un informe de Forescout Research, el grupo Mora_001 ha estado aprovechando dos vulnerabilidades específicas, identificadas como CVE-2024-55591 y CVE-2025-24472. La primera de estas vulnerabilidades ha sido utilizada desde diciembre de 2024, permitiendo a los atacantes infiltrarse en las redes de diversas empresas que utilizan esta tecnología.

La capacidad de los atacantes para explotar estas fallas resalta la necesidad urgente de que las organizaciones implementen parches de seguridad de manera oportuna y eficaz.

Forescout informó que Fortinet lanzó parches para ambas vulnerabilidades en enero, pero el hecho de que los atacantes aún estén activos sugiere que muchas organizaciones no han aplicado estas actualizaciones. Esta situación pone de manifiesto la falta de preparación de algunas empresas para gestionar sus infraestructuras de ciberseguridad, lo que las deja vulnerables a ataques devastadores.

Un ataque con un enfoque distinto

A diferencia de muchos ataques de ransomware que se centran exclusivamente en cifrar datos y pedir un rescate, Mora_001 ha adoptado un enfoque más sofisticado. Según Sai Molige, gerente senior de caza de amenazas en Forescout, los atacantes han demostrado una estrategia que implica la exfiltración de datos antes de proceder al cifrado. Este cambio de táctica resuena con una tendencia más amplia entre los operadores de ransomware, que priorizan el robo de datos como una forma de aumentar la presión sobre las víctimas.

La combinación de robo de datos y cifrado de archivos representa una nueva amenaza para las empresas, ya que no solo se enfrentan a la posibilidad de perder acceso a su información, sino también a la filtración de datos sensibles.

La investigación de Forescout ha confirmado al menos un incidente en el que los atacantes seleccionaron específicamente los servidores de archivos que contenían datos críticos. Este tipo de selección apunta a un nivel de planificación y deliberación que hace que Mora_001 sea aún más peligroso.

Conexiones con el grupo LockBit

Uno de los aspectos más intrigantes de este nuevo grupo de amenazas es su posible conexión con el infame grupo de ransomware LockBit. Forescout ha notado que Mora001 presenta una "firma operativa distinta" que se asemeja a las tácticas y técnicas utilizadas por LockBit. Esto plantea la posibilidad de que Mora001 sea una afiliada de LockBit, operando con métodos únicos, o incluso un grupo asociado que comparte canales de comunicación.

Las similitudes en el uso de la dirección de mensajería en las notas de rescate sugieren que Mora_001 puede estar utilizando la infraestructura de comunicación de LockBit, lo que podría complicar aún más la respuesta de las autoridades.

El ransomware que Mora_001 ha desplegado, denominado "SuperBlack", se basa en un constructor filtrado que se utilizó en ataques anteriores de LockBit 3.0. Esta relación entre los dos grupos pone de manifiesto cómo los delincuentes cibernéticos pueden colaborar y compartir recursos, lo que agrava el problema de la ciberseguridad.

La respuesta de la comunidad de ciberseguridad

La comunidad de ciberseguridad está tomando nota de estas nuevas tácticas y técnicas. Stefan Hostetler, jefe de inteligencia de amenazas en Arctic Wolf, señala que los hallazgos de Forescout sugieren que los atacantes están dirigiendo sus esfuerzos hacia las organizaciones que no han podido aplicar los parches necesarios. Esto indica una estrategia deliberada para maximizar el impacto de sus ataques.

Hostetler también menciona que las notas de rescate utilizadas por Mora001 tienen similitudes con las de otros grupos, como el ahora inactivo ALPHV/BlackCat. Esto sugiere que, aunque Mora001 puede ser un nuevo jugador en el campo del ransomware, está aprendiendo de las tácticas de sus predecesores y adaptando su enfoque para ser más efectivo.

La importancia de la preparación y la actualización

La situación actual pone de relieve la necesidad urgente de que las organizaciones adopten un enfoque proactivo en la gestión de su ciberseguridad. La falta de aplicación de parches puede resultar en consecuencias devastadoras, no solo en términos de pérdida de datos, sino también en la reputación y la confianza del cliente.

Las empresas deben establecer protocolos sólidos para la actualización de sus sistemas de seguridad, asegurando que todas las vulnerabilidades conocidas se aborden de manera oportuna. Esto incluye la formación del personal sobre las mejores prácticas en ciberseguridad y la implementación de medidas preventivas que reduzcan la probabilidad de sufrir un ataque exitoso.

La capacitación y la concienciación son componentes esenciales para fortalecer la defensa contra las amenazas cibernéticas actuales.

Mirando hacia el futuro

A medida que la tecnología continúa evolucionando, también lo hacen las tácticas de los delincuentes cibernéticos. La aparición de grupos como Mora_001 subraya la necesidad de una vigilancia constante y de la colaboración entre las empresas y las agencias de ciberseguridad. La información compartida y el análisis conjunto de las amenazas son fundamentales para combatir el creciente problema del ransomware.

La comunidad de ciberseguridad también debe trabajar para desarrollar herramientas y tecnologías que puedan ayudar a detectar y mitigar estos ataques antes de que causen daños significativos. Esto incluye el uso de inteligencia artificial y machine learning para identificar patrones de comportamiento sospechosos y responder de manera más rápida y eficaz a las amenazas emergentes.

La colaboración y el intercambio de información son esenciales en la lucha contra el ransomware y otros delitos cibernéticos, y la comunidad debe unirse para enfrentar este desafío.

La batalla contra el ransomware está lejos de ser ganada, y la aparición de nuevos actores como Mora_001 es un recordatorio de que las amenazas son constantes y están en evolución. Las organizaciones deben estar preparadas para adaptarse y responder a estas amenazas de manera efectiva, asegurando que su infraestructura de seguridad esté siempre un paso por delante de los delincuentes.