Hack Alerta

Ataque de roubo de credenciais FortiBleed ligado a operações de ransomware

Campanha FortiBleed compromete 430 mil firewalls e alimenta operações de ransomware INC e Lynx, exigindo ação imediata de CISOs.

Uma campanha de roubo de credenciais de larga escala, identificada como FortiBleed, que comprometeu mais de 430.000 firewalls FortiGate em todo o mundo, está diretamente alimentando duas operações ativas de ransomware-as-a-service (RaaS): INC Ransom e Lynx. A unidade de Pesquisa de Ameaças da SOCRadar identificou um operador com acesso à infraestrutura do FortiBleed logado ativamente nos painéis de negociação de ambas as marcas de ransomware, marcando a primeira conexão confirmada entre o roubo massivo de credenciais de FortiGate e a implantação de ransomware.

Escala e alcance da campanha FortiBleed

O grupo de ameaças opera como um corretor de acesso inicial, implantando uma ferramenta personalizada baseada em Golang chamada FortigateSniffer. Esta ferramenta intercepta passivamente o tráfego de autenticação ao abusar do comando nativo diagnose sniffer packet do FortiOS em duas dezenas de protocolos. A investigação contínua utilizando Shodan, Censys, Validin e varredura de blocos de IP internos descobriu cerca de 200 servidores operacionais adicionais vinculados aos sniffers e scanners da campanha.

A STRU rastreou a atividade de varredura contra aproximadamente 11.250 portais FortiGate em mais de 150 países. Os dados revelam um impacto significativo:

  • Acesso de nível de administrador confirmado em 409 alvos.
  • Cadeia de ataque completa concluída (comprometimento de VPN, acesso ao controlador de domínio, administrador de domínio) em 354 alvos.
  • Pelo menos 12 implantações confirmadas de ransomware, com centenas de endpoints criptografados.

Conexão com INC e Lynx Ransomware

Dentro do ambiente exposto, a STRU encontrou um operador engajando ativamente em negociações de resgate nos painéis do INC Ransom e do Lynx. O INC Ransom opera desde meados de 2023 como um dos grupos RaaS mais prolíficos, enquanto o Lynx, ativo desde aproximadamente um ano depois, é amplamente avaliado como uma variante evoluída do INC. Essa descoberta é corroborada pela sobreposição de vítimas: comparar os dados de alvos do próprio FortiBleed contra um diretório aberto vinculado ao INC revelou organizações de vítimas correspondentes em ambos os conjuntos de dados, uma confirmação independente de um pipeline operacional compartilhado.

A STRU também recuperou um documento de rastreamento interno detalhando quais credenciais foram usadas, quais redes foram acessadas e os resultados das implantações de ransomware. A análise sugere uma operação estruturada de cerca de 20 pessoas, incluindo um pequeno núcleo de operadores principais, especialistas dedicados e suporte administrativo júnior.

Implicações para CISOs e Mitigação

O FortiBleed não é uma operação isolada de roubo de credenciais; é um alimentador direto para economias ativas de ransomware. Para organizações que executam infraestrutura FortiGate, a exposição ao FortiBleed agora é mais do que um risco de credencial; é um precursor potencial de uma implantação completa de ransomware. A segurança de credenciais e a monitoração de tráfego de gerenciamento são críticas.

Recomendações imediatas incluem:

  • Revisar e rotacionar imediatamente todas as credenciais de administrador em firewalls FortiGate expostos à internet.
  • Implementar autenticação multifator (MFA) para todos os acessos de gerenciamento de firewall.
  • Monitorar logs de diagnóstico e tráfego de rede em busca de padrões de sniffing ou conexões anômalas.
  • Segmentar redes de gerenciamento para limitar o movimento lateral caso um firewall seja comprometido.

Perguntas frequentes

Qual é o risco principal? O risco principal é a transição de um roubo de credenciais para um ataque de ransomware completo, dado o vínculo confirmado com grupos INC e Lynx.

Como saber se fui afetado? Verifique se há logs de acesso de administrador incomuns ou tráfego de rede suspeito nos firewalls FortiGate expostos publicamente.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.