A massiva campanha de roubo de credenciais conhecida como FortiBleed foi vinculada às operações de ransomware INC e Lynx, indicando que as credenciais da Fortinet roubadas tinham como objetivo alimentar futuras invasões de rede. A descoberta, publicada pelo SOCRadar, revela que a operação foi consideravelmente maior do que se entendia inicialmente, tendo atingido mais de 430 mil firewalls FortiGate em todo o mundo.
Funcionamento da operação e infraestrutura
No início do mês passado, um servidor contendo credenciais roubadas de mais de 73 mil dispositivos Fortinet foi descoberto exposto na internet. Os pesquisadores encontraram arquivos de configuração do FortiGate, credenciais coletadas de dispositivos comprometidos e infraestrutura usada para quebrar hashes de senhas e realizar ataques de stuffing de credenciais. Investigações subsequentes do SOCRadar revelaram que a operação usava uma ferramenta personalizada de captura de pacotes chamada “FortiGate Sniffer” em firewalls FortiGate comprometidos, permitindo que os atacantes interceptassem credenciais de VPN e outros dados de autenticação diretamente do tráfego de rede.
Relação com grupos de ransomware
A equipe de pesquisa de ameaças do SOCRadar estabeleceu a ligação direta entre a operação de roubo de credenciais e membros dos grupos de ransomware INC e Lynx. Os pesquisadores identificaram um servidor Windows pertencente à infraestrutura do FortiBleed. “Durante a investigação desse servidor, a análise dos artefatos coletados revelou que o ator da ameaça havia acessado os painéis de negociação de resgate dos grupos Lynx e INC”, afirmou o SOCRadar. Os pesquisadores compartilharam capturas de tela mostrando sessões de navegador acessando os painéis de administração de ambos os grupos, com dashboards contendo chats com vítimas usados durante as negociações de resgate.
Dimensões e impacto da campanha
Segundo os pesquisadores, a operação tinha proporções muito maiores do que se imaginava. Ela visou mais de 430 mil firewalls FortiGate em todo o mundo e implantou sniffers de tráfego em aproximadamente 19 mil dispositivos. Após a notificação às organizações impactadas, o número caiu para cerca de 11 mil dispositivos comprometidos. Os pesquisadores também identificaram cerca de 500 servidores usados pela operação e mais de 200 servidores operacionais adicionais além daqueles originalmente associados à campanha. Foram descobertas informações de vítimas coletadas durante o FortiBleed que se sobrepõem a organizações posteriormente listadas no site de vazamento do INC Ransom. Há evidências que sugerem que a operação consiste em aproximadamente 20 membros com funções definidas.
Táticas adicionais e contexto
Os pesquisadores acreditam que os atacantes exploraram uma vulnerabilidade zero-day anteriormente não divulgada do Nextcloud como parte de suas operações para expandir o acesso após o comprometimento inicial. O SOCRadar também encontrou contas de backdoor persistentes usando o nome de usuário “adminin” em sistemas comprometidos e está continuando os esforços para recuperar chaves de descriptografia de ransomware. O INC Ransom opera como uma plataforma de ransomware-as-a-service desde meados de 2023, visando organizações nos setores de saúde, educação, governo e outros em todo o mundo. O Lynx surgiu em meados de 2024 e é considerado por pesquisadores de segurança como um rebranding do grupo INC Ransom. O SOCRadar afirma que um segundo white paper técnico contendo indicadores de comprometimento, evidências de atribuição e análises técnicas adicionais será publicado assim que a investigação for concluída.






