Comment les Hackers Exploitent Fortinet pour du Ransomware
Imaginez un instant : vous dirigez une entreprise florissante, vos données sont en sécurité derrière un pare-feu dernier cri, et soudain, un intrus invisible s’infiltre, verrouille vos fichiers et exige une rançon. Ce scénario, digne d’un thriller technologique, est devenu réalité pour plusieurs sociétés à cause de failles dans les pare-feu Fortinet. Depuis décembre 2024, des hackers exploitent ces vulnérabilités pour déployer un ransomware nommé SuperBlack, et les experts sonnent l’alarme.
Une Menace Émergente dans l’Ombre des Réseaux
Les pare-feu, ces remparts numériques censés protéger les réseaux d’entreprise, se retrouvent aujourd’hui au cœur d’une tempête. Selon une étude récente de Forescout Research, un groupe de cybercriminels, surnommé Mora_001, utilise deux failles spécifiques dans les systèmes Fortinet pour pénétrer les infrastructures. Ces attaques, qui ont débuté fin 2024, ne montrent aucun signe de ralentissement, malgré les correctifs publiés par Fortinet en janvier 2025.
Les Failles au Cœur de l’Attaque
Les vulnérabilités en question, identifiées sous les noms de code **CVE-2024-55591** et **CVE-2025-24472**, sont devenues des portes d’entrée idéales pour les hackers. La première, découverte en décembre 2024, permet un accès non autorisé aux réseaux. La seconde, plus récente, amplifie la menace en offrant une brèche supplémentaire. Forescout rapporte que Mora_001 exploite ces failles avec une précision chirurgicale, ciblant des serveurs contenant des données sensibles.
Mais pourquoi ces attaques réussissent-elles encore ? La réponse réside dans un décalage : toutes les entreprises n’ont pas appliqué les mises à jour nécessaires. Stefan Hostetler, expert chez Arctic Wolf, souligne que les hackers visent précisément ces organisations en retard, transformant une faiblesse technique en opportunité criminelle.
SuperBlack : Le Ransomware qui Fait Trembler
Au-delà des failles, c’est l’arme utilisée qui inquiète : **SuperBlack**, un ransomware sur mesure. Ce malware, dérivé du tristement célèbre *LockBit 3.0*, ne se contente pas de verrouiller les systèmes. Il suit une stratégie en deux étapes : d’abord, les hackers extraient les données critiques, puis ils lancent le chiffrement. Cette double menace maximise leur levier pour extorquer des rançons exorbitantes.
L’exfiltration précède toujours le chiffrement, une tendance claire chez les opérateurs de ransomware modernes.
– Sai Molige, Forescout Research
Dans un cas analysé par Forescout, les attaquants ont ciblé uniquement les serveurs de fichiers sensibles, laissant les autres systèmes intacts. Cette approche sélective montre une sophistication rare, où la perturbation n’est qu’un moyen, et le vol de données, l’objectif principal.
Mora_001 : Les Héritiers de LockBit ?
Qui se cache derrière ces assauts ? Les chercheurs pointent du doigt Mora_001, un groupe aux liens troublants avec le gang LockBit, démantelé par les autorités américaines en 2024. Les indices sont nombreux : SuperBlack repose sur le code source de LockBit 3.0, divulgué après sa chute, et les notes de rançon utilisent les mêmes canaux de communication. Pourtant, Mora_001 se distingue par son style opérationnel, suggérant une évolution ou une branche dissidente.
Cette connexion soulève une question : assiste-t-on à la renaissance de LockBit sous une nouvelle bannière ? Sai Molige reste prudent, évoquant une possible affiliation ou un partage de ressources entre groupes criminels. Une chose est sûre : la menace est bien réelle.
Les Entreprises dans la Ligne de Mire
Forescout a déjà recensé trois intrusions confirmées, mais le chiffre réel pourrait être bien plus élevé. Les cibles ne sont pas choisies au hasard : ce sont souvent des entreprises dépendantes de leurs données, où une attaque peut paralyser les opérations. Les secteurs comme la finance, la santé ou la logistique, où Fortinet est largement adopté, sont particulièrement vulnérables.
Et les conséquences ? Elles vont bien au-delà d’une simple perte financière. Une fois les données volées, elles peuvent être revendues sur le dark web ou utilisées pour des chantages prolongés. Pour les victimes, le dilemme est cruel : payer ou risquer une fuite massive.
Une Course Contre la Montre
Fortinet a réagi en publiant des correctifs dès janvier 2025, mais le temps joue contre les entreprises. Chaque jour sans mise à jour est une fenêtre ouverte pour les hackers. Hostetler insiste : les organisations doivent non seulement patcher leurs systèmes, mais aussi renforcer leurs configurations pour limiter les risques.
Voici quelques mesures essentielles pour se protéger :
- Appliquer immédiatement les correctifs de sécurité.
- Vérifier les logs pour détecter toute activité suspecte.
- Sauvegarder régulièrement les données critiques hors ligne.
Ces étapes, bien que simples, pourraient faire la différence entre une attaque évitée et une crise majeure.
Un Écosystème Cybercriminel en Mutation
Ces attaques ne sont pas un incident isolé, mais un symptôme d’un paysage cybercriminel en pleine évolution. La chute de grands noms comme LockBit ou ALPHV/BlackCat n’a pas freiné les hackers ; elle a au contraire libéré des outils et des savoir-faire, repris par de nouveaux acteurs comme Mora_001. Cette fragmentation rend la lutte plus complexe pour les autorités et les entreprises.
Pour les startups, souvent équipées de technologies comme celles de Fortinet pour sécuriser leurs réseaux naissants, le message est clair : la cybersécurité n’est plus une option, mais une priorité absolue. Un seul oubli peut transformer une innovation prometteuse en cible facile.
Et Après ?
Alors que nous avançons dans 2025, une certitude émerge : les hackers ne s’arrêteront pas. Les failles de Fortinet ne sont que le dernier chapitre d’une saga où la technologie, aussi avancée soit-elle, reste vulnérable à l’ingéniosité humaine. Pour les entreprises, le défi est double : anticiper les menaces et réagir avec agilité.
SuperBlack et Mora_001 ne sont peut-être que les prémices d’une vague plus large. Rester informé, investir dans la sécurité et collaborer avec des experts seront les clés pour naviguer dans cet océan numérique tumultueux. Et vous, êtes-vous prêt à affronter la prochaine tempête ?
