Die Cyberkriminalität erlebt weiterhin eine Eskalation durch immer raffiniertere Ransomware-Angreifer. Eine neue Gruppe namens Mora_001 hat seit Anfang des Jahres 2025 für Schlagzeilen gesorgt, da sie in technischer Hinsicht bemerkenswerte Verbindungen zur berüchtigten LockBit-Gruppe aufweist. Forscher von Forescout beobachten die Aktivitäten dieser neuformierten Bande aufmerksam und erkennen dabei, dass Mora_001 nicht nur auf bereits bekannte Ransomware-Techniken zurückgreift, sondern diese mit eigener Schadsoftware verbessert. Die Besonderheit dieser Gruppe ist die sogenannte „Franken-malware“, die auf LockBit 3.0 basiert, aber mit neuen Modulen ergänzt wurde, um noch effektiver im Cyber-Gefecht agieren zu können.
Mora_001 scheint gezielt Schwachstellen in Fortinet-Produkten auszunutzen, um in die IT-Infrastrukturen der Opfer einzudringen und dort ihren eigenen Ransomware-Schädling namens SuperBlack zu installieren. Fortinet-Systeme sind in vielen Unternehmen weitverbreitet, was die Angriffe dieser Gruppe besonders gefährlich macht. Die Wahl solcher weitverbreiteten Exploits lässt darauf schließen, dass Mora_001 ihre Angriffe strategisch plant und gezielt auf hohe Beutechancen abzielt. Die Verbindung zwischen Mora_001 und LockBit zeigt sich vor allem in der technischen Architektur der Schadsoftware. LockBit, als eine der bekanntesten und gefürchtetsten Ransomware-Familien, hat in den letzten Jahren immer wieder durch komplexe Angriffsstrategien, schnelle Ausbreitung und hohe Erpressungssummen für weltweites Aufsehen gesorgt.
LockBit 3.0 hat dabei der Szene ein neues Niveau in Sachen Anonymität und Effizienz vorgegeben. Die innovativen Angreifer hinter Mora_001 nutzen die bewährten Methoden und erweitern sie gezielt, was neue Herausforderungen für Sicherheitsforscher und Unternehmen mit sich bringt. Eine genauere Betrachtung von SuperBlack legt nahe, dass die Schadsoftware nicht nur klassischen Datenverschlüsselungscode enthält, sondern auch neuartige Mechanismen zur Umgehung von Sicherheitslösungen eingebaut hat. Die Malware stellt damit eine ernsthafte Gefahr dar, da sie sich gegen herkömmliche Antivirenprogramme und Netzwerkverteidigungen besser zu wappnen weiß.
So gelingt es Mora_001, oftmals unbemerkt in Systeme einzudringen und umfangreichen Schaden anzurichten, bevor die Betroffenen reagieren können. Die Methode, über Fortinet-Schwachstellen Zugang zu erlangen, ist sogenanntes „Initial Access“ – der entscheidende Schritt, um in ein fremdes Netzwerk einzudringen und weitere Schadsoftware zu verteilen. Fortinet-Geräte, die für VPN, Firewall und andere Sicherheitsdienste eingesetzt werden, besitzen vermehrt bekannte Schwachstellen, die lange nicht gepatcht wurden. Angreifer wie Mora_001 übernehmen diese Sicherheitslücke und verschaffen sich so einen privilegierten Zugang, häufig ohne dass dies sofort bemerkt wird. Die Exploits werden von der Gruppe offenbar schnell adaptiert und mit eigenen Werkzeugen kombiniert, um möglichst breit und erfolgreich agieren zu können.
In der Bedrohungslandschaft der Cyberkriminalität gilt die Entwicklung von sogenannten „Franken-malwares“ als besorgniserregender Trend. Dies beschreibt Schadsoftware, die aus verschiedenen Bestandteilen bereits bestehender Ransomware-Familien zusammengesetzt wird, um deren Effektivität zu erhöhen. Beim Beispiel Mora_001 sehen wir, wie LockBit 3.0 als Basis für SuperBlack dient, aber durch neue Funktionen ergänzt wird, die spezifisch auf die Identifizierung von Schwachstellen und das Aushebeln von Abwehrmechanismen zugeschnitten sind. Die Art und Weise, wie Malware modulartig zusammengestellt wird, ermöglicht eine schnelle Anpassung an Sicherheitsupdates und eine flexible Verbreitung unter verschiedenen Zielgruppen.
Die zunehmende Professionalisierung solcher Gruppen führt zu immer größeren Herausforderungen für Sicherheitsverantwortliche in Unternehmen weltweit. Mora_001 demonstriert eindrucksvoll, dass Angreifer nicht mehr nur auf Krypto-Mining oder einfache Erpressung setzen, sondern mit sophistizierten Tools und ausgefeilten Angriffsszenarien aufwarten. Der Einsatz von „SuperBlack“ in Kombination mit massiven Exploits zeigt, dass finanzielle Motivation und technische Expertise Hand in Hand gehen. Eine wichtige Erkenntnis aus den Beobachtungen von Forescout ist, dass Unternehmen ihre Systeme insbesondere auf Schwachstellen in Fortinet-Produkten überprüfen und zu aktualisieren dringend empfohlen wird. Angreifer nutzen oft bekannte Lücken, die entweder zu lange offen bleiben oder nur mangelhaft gepatcht sind.
Das Ignorieren solcher Warnsignale lädt Ransomware-Gruppen wie Mora_001 ein, ungestört zu operieren. Es gilt sowohl administrativen als auch technischen Teams, Netzwerke kontinuierlich zu überwachen, um verdächtige Aktivitäten frühzeitig zu erkennen und entsprechend gegenzusteuern. Neben der technischen Komponente wird der Kampf gegen Mora_001 auch eine juristische und koordinierte Reaktion seitens Strafverfolgungsbehörden erfordern. Die globale Vernetzung der Bedrohung macht es notwendig, Informationen zwischen Ländern und Sicherheitsorganisationen auszutauschen und Maßnahmen gegen die Infrastruktur der Angreifer umzusetzen. Prävention, Awareness-Schulungen für Mitarbeiter und robuste Backup-Strategien bleiben essenzielle Bestandteile, um sich vor den Folgen der Ransomware-Angriffe zu schützen.
Die Verbindung der neuen Mora_001-Gruppe zu LockBit ist ein Warnsignal für die Branche, da diese Ransomware-Familie als technologisches Vorbild dient und oftmals als Blaupause für neue Angriffsansätze fungiert. Das Beobachten ihrer Weiterentwicklung sowie das Teilen von Wissen in der Security-Community ist unabdingbar, um Gegenmaßnahmen zu stärken. Die Lage bleibt dynamisch, die Angreifer zeigen sich anpassungsfähig und es ist unabdingbar, den eigenen Sicherheitsstandards und Monitoring-Möglichkeiten höchste Priorität einzuräumen. Abschließend zeigt das Auftreten von Mora_001 in Kombination mit ihren fortgeschrittenen Techniken erneut, dass die Cyberkriminalität im Bereich Ransomware eine neue Qualität erreicht hat. Für Unternehmen bedeutet das, permanent wachsam zu bleiben und technische Lücken unverzüglich zu schließen.
Nur durch eine Kombination aus technologischer Absicherung, Awareness-Maßnahmen und zeitnahen Reaktionen lässt sich der zunehmenden Bedrohungslage entgegenwirken und die eigene digitale Infrastruktur schützen.
