- Cercetătorii au descoperit că operațiunea masivă de furt de credențiale FortiBleed este legată de grupurile de ransomware INC și Lynx.
O campanie masivă de furt de credențiale, cunoscută sub numele de FortiBleed, a fost legată de două operațiuni de ransomware bine-cunoscute: INC și Lynx. Cercetătorii în securitate au descoperit că credențialele furate de la sute de mii de firewall-uri FortiGate au fost utilizate pentru a facilita atacuri ransomware ulterioare.
Contextul campaniei FortiBleed
Descoperită inițial ca o operațiune de furt la scară largă, FortiBleed viza dispozitive FortiGate expuse pe internet, exploatând configurări slabe sau vulnerabilități pentru a extrage credențiale de acces. Potrivit datelor analizate, peste 100.000 de firewall-uri au fost compromise, iar informațiile furate au fost puse la vânzare pe piețe subterane. Amploarea acțiunii a atras atenția comunității de securitate, care a început să investigheze cui servesc aceste date.
Legătura cu ransomware-ul INC și Lynx
Analize recente au relevat că un operator asociat infrastructurii FortiBleed a fost identificat activ pe panourile de negociere ale ambelor grupuri de ransomware, INC și Lynx. Aceasta sugerează o legătură directă între furtul credențialelor și implementarea ransomware-ului. „Am găsit dovezi clare că credențialele furate au fost folosite pentru a intra în rețele și a implementa ransomware INC și Lynx”, au declarat cercetătorii. Ambele grupuri sunt cunoscute pentru atacuri țintite asupra organizațiilor din diverse sectoare, inclusiv sănătate, educație și administrație publică.
Cum au fost exploatate credențialele
Odată obținute, credențialele FortiGate au permis atacatorilor să se conecteze la rețelele corporative și să se deplaseze lateral, escaladând privilegii până la obținerea accesului la servere critice. În multe cazuri, accesul a fost vândut altor actori rău intenționați, inclusiv grupurilor INC și Lynx. Acestea au folosit apoi tactici de tip „big game hunting”, criptând datele și cerând răscumpărări de milioane de dolari. Cercetătorii subliniază că FortiBleed nu este doar o simplă campanie de furt, ci un întreg ecosistem care alimentează ransomware-ul.
Ce înseamnă pentru tine
Dacă administrezi firewall-uri FortiGate, este crucial să actualizezi firmware-ul și să implementezi autentificare multifactor. Monitorizează jurnalele pentru conexiuni suspecte și schimbă parolele imediat. Pentru organizații, se recomandă segmentarea rețelei și limitarea accesului VPN. Nu subestima riscul: credențialele furate pot fi folosite rapid de grupuri de ransomware pentru a-ți paraliza operațiunile.