Den omfattende FortiBleed-kampagne for tyveri af loginoplysninger ser ud til at have en direkte forbindelse til ransomwaregrupperne Lynx og INC, ifølge ny forskning fra SOCRadar. Efterforskere vurderer, at angriberne indsamlede tusindvis af Fortinet-legitimationsoplysninger for at understøtte fremtidige ransomwareangreb og indbrud i virksomheders netværk.
Undersøgelse afslører forbindelser til ransomwaregrupper
Sikkerhedsforskere opdagede tidligere en server, der var eksponeret på internettet, og som indeholdt loginoplysninger stjålet fra mere end 73.000 Fortinet-enheder.
Serveren indeholdt downloadede FortiGate-konfigurationsfiler, legitimationsoplysninger fra kompromitterede firewalls samt infrastruktur til at knække adgangskode-hashes og udføre credential stuffing-angreb.
Forskerne gav operationen navnet FortiBleed på grund af den enorme mængde stjålne legitimationsoplysninger.
Under den videre undersøgelse identificerede SOCRadar en Windows-server, som var en del af FortiBleed-infrastrukturen.
Da forskerne analyserede serveren, fandt de beviser for, at en person med adgang til infrastrukturen også havde åbnet de interne forhandlingsportaler, som blev brugt af ransomwaregrupperne INC og Lynx.
Browser-sessioner forbinder FortiBleed med Lynx og INC
SOCRadar offentliggjorde skærmbilleder, der viste aktive browser-sessioner til administrationspanelerne for begge ransomwaregrupper.
Panelerne indeholdt forhandlingssamtaler mellem angriberne og deres ofre under afpresningsforløb.
Ifølge forskerne er dette direkte bevis på, at mindst én person bag FortiBleed også havde adgang til ransomwaregruppernes interne systemer.
Kampagnen er langt større end først antaget
Den seneste undersøgelse viser, at operationen er betydeligt mere omfattende end de første analyser tydede på.
SOCRadar identificerede mere end 200 yderligere servere, som var knyttet til kampagnen.
Forskerne fandt også oplysninger om ofre, der senere dukkede op på INC’s lækside for ransomwareofre.
Virksomheden vurderer, at operationen består af omkring 20 personer, hvor medlemmerne har forskellige specialiserede roller.
Hundredtusindvis af FortiGate-enheder blev målrettet
Forskerne anslår nu, at angriberne rettede deres angreb mod mere end 430.000 FortiGate-firewalls på verdensplan.
Kampagnen installerede angiveligt pakkesniffere på omkring 19.000 enheder for at opsnappe VPN-loginoplysninger og andre autentificeringsdata direkte fra netværkstrafikken.
Efter at SOCRadar underrettede de berørte organisationer, er antallet af kompromitterede enheder angiveligt faldet til omkring 11.000.
Efterforskerne identificerede desuden cirka 500 servere, som understøttede operationen.
Forskere undersøger yderligere angrebsmetoder
SOCRadar mener også, at angriberne udnyttede en hidtil ukendt zero day-sårbarhed i Nextcloud for at udvide deres adgang efter det første kompromis.
Forskerne har endnu ikke offentliggjort tekniske detaljer om den formodede sårbarhed.
Undersøgelsen afslørede desuden vedvarende bagdørskonti med brugernavnet “adminin” på kompromitterede systemer.
Forskerne arbejder samtidig videre på at genskabe dekrypteringsnøgler, som kan hjælpe fremtidige ransomwareofre.
Baggrund om ransomwaregrupperne
INC har tilbudt ransomware-as-a-service (RaaS) siden midten af 2023. Gruppens partnere har angrebet organisationer inden for blandt andet sundhedssektoren, uddannelse, den offentlige sektor og flere andre brancher.
Lynx dukkede op i midten af 2024. Mange sikkerhedsforskere vurderer, at gruppen reelt er en videreførelse eller omprofilering af INC frem for en helt ny ransomwaregruppe.
SOCRadar planlægger at offentliggøre en ny teknisk rapport, når undersøgelsen er afsluttet. Rapporten vil indeholde flere kompromitteringsindikatorer, yderligere beviser for forbindelserne og en mere dybdegående teknisk analyse.
Konklusion
De seneste resultater om FortiBleed-kampagnen tyder på, at operationen handlede om langt mere end omfattende indsamling af loginoplysninger. Forbindelsen til ransomwaregrupperne Lynx og INC styrker teorien om, at de stjålne Fortinet-legitimationsoplysninger skulle danne grundlag for fremtidige ransomwareangreb mod organisationer verden over.


0 svar til “FortiBleed-kampagne for tyveri af loginoplysninger forbindes med ransomwaregrupperne Lynx og INC”