FortiBleed alimenta ataques de ransomware, diz a SOCRadar

A campanha FortiBleed, que comprometeu mais de 430 mil firewalls FortiGate em todo o mundo, está diretamente ligada a operações de ransomware das famílias INC Ransom e Lynx, de acordo com uma análise publicada pela SOCRadar em 1º de julho. A descoberta, feita pela unidade de pesquisa de ameaças da empresa, revela que um operador com acesso à infraestrutura do FortiBleed foi encontrado ativamente conectado aos painéis de negociação de ambos os grupos, estabelecendo a conexão entre o roubo de credenciais e a implantação de ransomware.

O grupo por trás do FortiBleed, que atua como um Initial Access Broker (corretor de acesso inicial), utiliza uma ferramenta personalizada em Golang chamada FortigateSniffer para interceptar passivamente o tráfego de autenticação em dois protocolos, conforme documentado pela SOCRadar. A investigação expandida identificou 200 servidores operacionais adicionais não registrados originalmente, e rastreou atividades de varredura contra cerca de 11.250 portais FortiGate em mais de 150 países, com acesso em nível administrativo confirmado em 409 alvos. Em 354 desses, o ator concluiu a cadeia completa de ataque, comprometendo o controlador de domínio e obtendo privilégios de administrador de domínio.

A SOCRadar afirma ter confirmado pelo menos 12 implantações de ransomware resultantes desse acesso, com centenas de endpoints criptografados em organizações afetadas. O link direto foi estabelecido quando um operador foi encontrado atuando simultaneamente nos painéis de negociação do INC Ransom e do Lynx, duas famílias de ransomware ativas. O INC Ransom opera desde meados de 2023, enquanto o Lynx, considerado uma variante evoluída do INC, surgiu cerca de um ano depois. Além disso, foi identificada uma sobreposição de vítimas entre os dados do FortiBleed e um diretório aberto do INC Ransom, confirmando que as mesmas organizações eram rastreadas por ambas as operações.

Estrutura organizada e próximos passos

A análise de um documento de rastreamento interno recuperado pela SOCRadar revela que o grupo possui uma estrutura organizada de aproximadamente 20 pessoas, com um núcleo de operadores principais apoiados por especialistas dedicados e uma camada de operadores juniores. A SOCRadar afirma que está preparando um whitepaper técnico completo com indicadores de comprometimento, detalhes da infraestrutura e da estrutura interna do grupo, a ser publicado em breve. A pesquisa também investigou o uso de ferramentas de IA pelo grupo para pesquisa de vulnerabilidades, incluindo trabalho em pelo menos uma vulnerabilidade zero-day não divulgada, cuja divulgação está sendo coordenada com o fornecedor afetado.