Den omfattende FortiBleed-kampanjen for tyveri av påloggingsopplysninger ser ut til å ha en direkte forbindelse til ransomwaregruppene Lynx og INC, ifølge ny forskning fra SOCRadar. Etterforskere mener angriperne samlet inn tusenvis av Fortinet-legitimasjoner for å legge til rette for fremtidige ransomwareangrep og innbrudd i bedriftsnettverk.

Etterforskning avdekker koblinger til ransomwaregrupper

Sikkerhetsforskere oppdaget tidligere en internetteksponert server med påloggingsopplysninger stjålet fra mer enn 73 000 Fortinet-enheter.

Serveren inneholdt nedlastede konfigurasjonsfiler fra FortiGate-brannmurer, legitimasjoner hentet fra kompromitterte enheter og infrastruktur for å knekke passord-hasher og gjennomføre credential stuffing-angrep.

Forskerne ga operasjonen navnet FortiBleed på grunn av det enorme omfanget av de stjålne legitimasjonene.

Under den videre etterforskningen identifiserte SOCRadar en Windows-server som var en del av FortiBleed-infrastrukturen.

Da forskerne undersøkte serveren, fant de bevis på at en person med tilgang til infrastrukturen også hadde åpnet de interne forhandlingsportalene til ransomwaregruppene INC og Lynx.

Nettleserøkter knytter FortiBleed til Lynx og INC

SOCRadar delte skjermbilder som viste aktive nettleserøkter mot administrasjonspanelene til begge ransomwaregruppene.

Panelene inneholdt samtaler mellom angriperne og ofrene under utpressingsforhandlinger.

Ifølge forskerne er dette direkte bevis på at minst én person bak FortiBleed også hadde tilgang til ransomwaregruppenes interne systemer.

Kampanjen er langt større enn først antatt

Den siste etterforskningen viser at operasjonen er betydelig mer omfattende enn de første analysene tydet på.

SOCRadar identifiserte over 200 ekstra servere knyttet til kampanjen.

Forskerne fant også informasjon om ofre som senere dukket opp på INCs lekkasjeside for ransomwareofre.

Selskapet anslår at operasjonen består av rundt 20 personer, der deltakerne har ulike spesialiserte roller.

Hundretusener av FortiGate-enheter ble målrettet

Forskerne anslår nå at angriperne rettet seg mot mer enn 430 000 FortiGate-brannmurer verden over.

Kampanjen skal ha installert pakkesniffere på rundt 19 000 enheter for å fange opp VPN-legitimasjoner og andre autentiseringsopplysninger direkte fra nettverkstrafikken.

Etter at SOCRadar varslet de berørte organisasjonene, skal antallet kompromitterte enheter ha falt til rundt 11 000.

Etterforskerne identifiserte også omtrent 500 servere som støttet operasjonen.

Forskere undersøker flere angrepsmetoder

SOCRadar mener angriperne også utnyttet en tidligere ukjent zero day-sårbarhet i Nextcloud for å utvide tilgangen etter det første innbruddet.

Forskerne har foreløpig ikke offentliggjort tekniske detaljer om den mistenkte sårbarheten.

Etterforskningen avdekket også vedvarende bakdørkontoer med brukernavnet «adminin» på kompromitterte systemer.

Forskerne arbeider dessuten videre med å gjenopprette dekrypteringsnøkler som kan hjelpe fremtidige ransomwareofre.

Bakgrunn om ransomwaregruppene

INC har tilbudt ransomware-as-a-service (RaaS) siden midten av 2023. Gruppens partnere har angrepet organisasjoner innen blant annet helsevesen, utdanning, offentlig sektor og flere andre bransjer.

Lynx dukket opp i midten av 2024. Mange sikkerhetsforskere mener gruppen i realiteten er en videreføring eller omprofilering av INC, snarere enn en helt ny ransomwaregruppe.

SOCRadar planlegger å publisere en ny teknisk rapport når etterforskningen er avsluttet. Rapporten skal inneholde flere kompromitteringsindikatorer, ytterligere bevis for koblingene og en mer detaljert teknisk analyse.

Konklusjon

De nyeste funnene om FortiBleed-kampanjen tyder på at operasjonen handlet om langt mer enn omfattende innsamling av påloggingsopplysninger. Koblingen til ransomwaregruppene Lynx og INC styrker teorien om at de stjålne Fortinet-legitimasjonene skulle brukes som grunnlag for fremtidige ransomwareangrep mot organisasjoner over hele verden.


0 responses to “FortiBleed-kampanje for tyveri av påloggingsopplysninger kobles til ransomwaregruppene Lynx og INC”