해커들, 포티넷 방화벽 취약점 악용한 랜섬웨어 공격 시도
||2025.03.18
![[사진: 셔터스톡]](https://www.digitaltoday.co.kr/news/photo/202503/557458_521780_3139.png)
[디지털투데이 황치규 기자]보안 연구원들이 포티넷 방화벽 취약점을 악용한 랜섬웨어 공격을 확인했다고 테크크런치가 17일(현지시간) 보도했다.
포어스카우트 리서치는 해커 그룹 ‘Mora_001’이 포티넷 방화벽을 통해 기업 네트워크에 침입, 맞춤형 랜섬웨어 슈퍼블랙(SuperBlack)을 배포하고 있다고 밝혔다.
특히 CVE-2024-55591 및 CVE-2025-24472로 추적되는 두 개 취약점이 공격에 활용됐고 포티넷은 지난 1월 관련 패치를 배포했다고 테크크런치는 전했다.
이번 공격에서 해커들은 기업 내 파일 서버를 ‘선택적으로’ 암호화했고 데이터 탈취 후 암호화를 실행하는 등 최근 랜섬웨어 조직들 트렌드와 유사한 모습을 보였다.
Mora_001은 지난해 미국 당국이 중단시킨 록비트(LockBit) 랜섬웨어 조직과 연관돼 있을 가능성도 있다는 분석이다. 연구진은 슈퍼블록이 유출된 록비트 3.0 빌더 기반으로 개발됐으며, Mora_001이 사용하는 랜섬 노트에도 록비트와 동일한 메시지 주소가 포함돼 있다고 전했다.
사이버 보안 회사 아틱 울트(Arctic Wolf) 위협 인텔리전스 책임자인 스테판 호스텔러(Stefan Hostetler)는 “이번 공격은 취약점 공개 후 즉시 패치를 적용하지 않은 기업들을 겨냥한 것”이라며 “ALPHV/BlackCat 랜섬웨어와 유사한 랜섬 노트를 사용한 점도 주목할 만하다”고 말했다.
