Die groß angelegte FortiBleed-Kampagne zum Diebstahl von Zugangsdaten steht offenbar in direktem Zusammenhang mit den Ransomware-Gruppen Lynx und INC. Zu diesem Ergebnis kommt eine neue Untersuchung von SOCRadar. Die Ermittler gehen davon aus, dass die Angreifer Tausende Fortinet-Zugangsdaten sammelten, um zukünftige Ransomware-Angriffe und Netzwerkkompromittierungen vorzubereiten.

Ermittlungen decken Verbindungen zu Ransomware-Gruppen auf

Sicherheitsforscher entdeckten zuvor einen frei zugänglichen Server im Internet, der Zugangsdaten von mehr als 73.000 Fortinet-Geräten enthielt.

Auf dem Server fanden sich heruntergeladene FortiGate-Konfigurationsdateien, Zugangsdaten kompromittierter Firewalls sowie Infrastruktur zum Knacken von Passwort-Hashes und für Credential-Stuffing-Angriffe.

Aufgrund des enormen Umfangs der gestohlenen Zugangsdaten erhielt die Operation den Namen FortiBleed.

Im Verlauf der weiteren Untersuchungen identifizierte SOCRadar einen Windows-Server, der Teil der FortiBleed-Infrastruktur war.

Bei der Analyse dieses Servers entdeckten die Forscher Hinweise darauf, dass eine Person mit Zugriff auf die Infrastruktur auch die internen Verhandlungsportale der Ransomware-Gruppen INC und Lynx genutzt hatte.

Browser-Sitzungen verbinden FortiBleed mit Lynx und INC

SOCRadar veröffentlichte Screenshots aktiver Browser-Sitzungen zu den Administrationsportalen beider Ransomware-Gruppen.

Die Dashboards enthielten Verhandlungsgespräche mit Opfern, wie sie bei Erpressungsversuchen üblich sind.

Nach Einschätzung der Forscher liefern diese Funde direkte Beweise dafür, dass mindestens eine an der FortiBleed-Infrastruktur beteiligte Person auch Zugriff auf die internen Systeme der beiden Ransomware-Gruppen hatte.

Kampagne ist deutlich größer als zunächst angenommen

Die neuesten Untersuchungsergebnisse zeigen, dass die Operation wesentlich umfangreicher ist als zunächst vermutet.

SOCRadar identifizierte mehr als 200 zusätzliche Server, die mit der Kampagne in Verbindung stehen.

Außerdem fanden die Forscher Informationen über Opfer, die später auf der Leak-Seite der INC-Ransomware-Gruppe auftauchten.

Nach Einschätzung des Unternehmens besteht die Operation aus rund 20 Mitgliedern, die jeweils spezialisierte Aufgaben übernehmen.

Hunderttausende FortiGate-Geräte wurden angegriffen

Die Forscher schätzen inzwischen, dass die Angreifer mehr als 430.000 FortiGate-Firewalls weltweit ins Visier nahmen.

Im Rahmen der Kampagne sollen auf rund 19.000 Geräten Paket-Sniffer installiert worden sein, um VPN-Zugangsdaten und andere Authentifizierungsinformationen direkt aus dem Netzwerkverkehr abzufangen.

Nachdem SOCRadar die betroffenen Organisationen informiert hatte, sank die Zahl der kompromittierten Geräte Berichten zufolge auf etwa 11.000.

Die Ermittler identifizierten außerdem rund 500 Server, die die Operation unterstützten.

Forscher untersuchen weitere Angriffsmethoden

SOCRadar vermutet außerdem, dass die Angreifer eine bislang unbekannte Zero-Day-Schwachstelle in Nextcloud ausnutzten, um ihren Zugriff nach der ersten Kompromittierung auszuweiten.

Technische Einzelheiten zu dieser vermuteten Schwachstelle haben die Forscher bislang nicht veröffentlicht.

Die Untersuchung deckte außerdem dauerhafte Hintertür-Konten mit dem Benutzernamen „adminin“ auf kompromittierten Systemen auf.

Darüber hinaus arbeiten die Forscher weiterhin daran, Entschlüsselungsschlüssel wiederherzustellen, die zukünftigen Opfern von Ransomware-Angriffen helfen könnten.

Hintergrund zu den Ransomware-Gruppen

INC bietet seit Mitte 2023 Ransomware-as-a-Service (RaaS) an. Die Partner der Gruppe greifen Organisationen aus dem Gesundheitswesen, dem Bildungsbereich, dem öffentlichen Sektor und zahlreichen weiteren Branchen an.

Die Gruppe Lynx tauchte Mitte 2024 auf. Viele Sicherheitsforscher gehen davon aus, dass sie keine neue Gruppierung ist, sondern eine Umbenennung beziehungsweise Weiterentwicklung von INC darstellt.

SOCRadar plant, nach Abschluss der Ermittlungen einen zweiten technischen Bericht zu veröffentlichen. Dieser soll zusätzliche Kompromittierungsindikatoren, weitere Zuordnungsbeweise sowie eine ausführlichere technische Analyse enthalten.

Fazit

Die neuesten Erkenntnisse zur FortiBleed-Kampagne zeigen, dass es sich um weit mehr als eine groß angelegte Aktion zum Diebstahl von Zugangsdaten handelte. Die Verbindung zu den Ransomware-Gruppen Lynx und INC deutet darauf hin, dass die gestohlenen Fortinet-Zugangsdaten Teil einer umfassenderen Strategie waren, um zukünftige Ransomware-Angriffe auf Unternehmen und Organisationen weltweit vorzubereiten.


0 Kommentare zu „FortiBleed-Kampagne zum Diebstahl von Zugangsdaten mit den Ransomware-Gruppen Lynx und INC in Verbindung gebracht“