New SuperBlack ransomware exploits Fortinet auth bypass flaws

Pada awal tahun 2025, dunia keamanan siber dikejutkan oleh kemunculan kelompok ransomware baru yang dikenal sebagai 'Mora_001'. Kelompok ini mengeksploitasi dua kerentanan bypass autentikasi pada perangkat Fortinet untuk menyebarkan ransomware kustom bernama 'SuperBlack'. Kerentanan yang dimaksud adalah CVE-2024-55591 dan CVE-2025-24472, yang memungkinkan penyerang mendapatkan akses tanpa autentikasi ke perangkat Fortinet yang rentan..

baca juga : Ebook Strategi Keamanan Siber untuk Pemerintah Daerah - Transformasi Digital Aman dan Terpercaya Buku Digital Saku Panduan untuk Pemda

Eksploitasi Kerentanan Fortinet

Kerentanan CVE-2024-55591 pertama kali diungkapkan oleh Fortinet pada 14 Januari 2025, dengan laporan bahwa kerentanan ini telah dieksploitasi sebagai zero-day sejak November 2024 untuk menembus firewall FortiGate. Selanjutnya, pada 11 Februari 2025, Fortinet memperbarui advisori mereka untuk memasukkan CVE-2025-24472, menjelaskan bahwa kerentanan ini telah diperbaiki pada Januari dan saat itu belum diketahui dieksploitasi.

Kelompok Mora_001 memanfaatkan kerentanan ini untuk mendapatkan hak istimewa 'super_admin' pada perangkat Fortinet yang terpapar. Setelah mendapatkan akses, mereka membuat akun admin baru dengan nama yang mirip dengan akun asli, menambahkan satu digit di akhir untuk menghindari deteksi. Mereka juga menambahkan akun-akun ini ke grup VPN untuk mempertahankan akses tanpa terdeteksi selama tinjauan admin rutin.

Penyebaran Ransomware SuperBlack

Setelah mendapatkan akses awal, Mora_001 bergerak lateral dalam jaringan, menargetkan server otentikasi, database, file, pengendali domain, dan elemen infrastruktur jaringan lainnya. Mereka kemudian mengekstrak data dan memulai enkripsi menggunakan ransomware SuperBlack.

SuperBlack adalah varian dari LockBit 3.0 (juga dikenal sebagai LockBit Black), yang bocor pada September 2022. Meskipun SuperBlack menggunakan kode dasar yang sama dengan LockBit Black, terdapat beberapa perbedaan, termasuk modul eksfiltrasi data kustom dan penyesuaian pada catatan tebusan. Namun, ID qTox yang digunakan untuk negosiasi tebusan masih terkait dengan LockBit, menunjukkan kemungkinan hubungan antara Mora_001 dan operasi LockBit.

Dampak dan Tindakan Mitigasi

Kampanye SuperBlack telah mempengaruhi berbagai organisasi secara global, mengakibatkan:

• Gangguan operasional akibat sistem yang terenkripsi.

• Pelanggaran data karena informasi yang dicuri.

• Kerugian finansial dari pembayaran tebusan dan biaya pemulihan.

Meskipun Fortinet telah merilis patch untuk kerentanan yang dieksploitasi, banyak sistem yang tetap belum diperbarui, memicu serangan yang sedang berlangsung. Untuk mengurangi risiko ini, organisasi harus segera mengambil tindakan berikut:

1. Menerapkan patch terbaru dari Fortinet untuk mengatasi kerentanan.

2. Menegakkan kontrol akses yang ketat untuk membatasi akses tidak sah.

3. Memantau aktivitas mencurigakan untuk mendeteksi potensi pelanggaran lebih awal.

4. Memperkuat kemampuan respons insiden untuk memastikan pemulihan yang cepat dan efektif.

Tindakan proaktif dan segera sangat penting untuk melindungi terhadap ancaman yang meningkat ini.

Kesimpulan

Kemunculan kelompok ransomware Mora_001 dan penyebaran SuperBlack menyoroti pentingnya menjaga keamanan infrastruktur jaringan. Eksploitasi kerentanan pada perangkat Fortinet menunjukkan bahwa penyerang terus mencari celah untuk mendapatkan akses tidak sah. Organisasi harus proaktif dalam menerapkan patch keamanan, memantau aktivitas jaringan, dan memperkuat kontrol akses untuk melindungi diri dari ancaman yang berkembang.