Ransomware Napad: LockBit i Ranjivosti Fortinet Firewall-a
U svijetu cyber sigurnosti, novi izazovi i prijetnje stalno se pojavljuju. Prema upozorenju stručnjaka, afiliati LockBit-a koriste ranjive Fortinet endpoint-e kako bi ciljali tvrtke s novom verzijom ransomware-a. Istraživači kibernetske sigurnosti u Forescoutu otkrili su da prijetnja dolazi od grupe poznate kao “Mora_001”, koja koristi dvije ranjivosti u Fortinet firewall-ima, označene kao CVE-2024-55591 i CVE-2025-24472, za distribuciju ažuriranog ransomware-a pod nazivom SuperBlack.
Ranjivosti Fortinet-a i kako se zaštititi
Obje ranjivosti su već ranije korištene, a zakrpili su se u siječnju 2025. godine. Najbolji način za zaštitu od ovih napada je osigurati da vaši Fortinet firewall-i budu ažurirani. Evo nekoliko savjeta za zaštitu:
- Redovito provjeravajte dostupnost ažuriranja za vaš Fortinet firewall.
- Implementirajte proaktivne mjere sigurnosti, poput firewall pravila i filtriranje prometa.
- ObEducite svoje osoblje o prepoznavanju potencijalnih cyber prijetnji.
Kako se nositi s LockBit-ovim napadima
Stručnjaci iz Forescout-a ističu da postoji povezanost između TTP-a (taktike, tehnike i procedure) Mora_001 i LockBit-a, što sugerira da bi ta grupa mogla biti affiliate LockBit-a. SuperBlack ransomware je temeljen na graditelju koji je prethodno korišten u LockBit 3.0 napadima.
Nažalost, situacija je dodatno otežana jer u obje napada koriste istu poruku u otkupnoj poruci, što ukazuje na moguće koordinirane napade. Prema riječima Sai Molige, višeg menadžera za prijetnje u Forescout-u, potvrđeno je najmanje tri slučaja, iako postoji mogućnost da ih ima još.
Oslabljeni LockBit i njegovi Afiliati
LockBit je bio jedna od najsnažnijih ransomware grupa sve do trenutka kada je krajem veljače 2024. FBI izveo akciju protiv njih. Tijekom te akcije, zaplijenjeno je njihovo web sjedište, podaci koje su posjedovali te “tisuće” ključeva za dekripciju. Također, prikupljene su informacije o njihovim afiliatima, kojih je tada bilo oko 200, te su ih potaknuli da se jave.
U veljači ove godine, dobavljač usluga otpornih na napade, navodno korišten od strane LockBit-a, bio je sankcioniran od strane Sjedinjenih Država i Velike Britanije. Iako je LockBit uspio obnoviti svoje operacije otprilike tjedan dana kasnije, moguće je da su mnogi njihovi afiliati preusmjerili svoje aktivnosti na druge grupe, poput RansomHub ili Medusa.
Zaključak
U ovom trenutku, važno je ostati informiran o najnovijim prijetnjama u svijetu cybersigurnosti. Redovno ažuriranje sigurnosnih sustava, kao i edukacija zaposlenika ključni su za zaštitu vaše tvrtke od ransomware napada. Svijet cyber prijetnji je dinamičan i stalno se razvija, a uspješna obrana ovisi o vašoj sposobnosti da se prilagodite tim promjenama.
