Den omfattande FortiBleed-kampanjen för stöld av inloggningsuppgifter verkar ha en direkt koppling till ransomwaregrupperna Lynx och INC, enligt ny forskning från SOCRadar. Utredare bedömer att angriparna samlade in tusentals Fortinet-uppgifter för att möjliggöra framtida ransomwareattacker och intrång i företagsnätverk.

Utredning avslöjar kopplingar till ransomwaregrupper

Säkerhetsforskare upptäckte tidigare en internetexponerad server med inloggningsuppgifter som stulits från över 73 000 Fortinet-enheter.

Servern innehöll nedladdade konfigurationsfiler från FortiGate-brandväggar, inloggningsuppgifter från komprometterade enheter samt infrastruktur för att knäcka lösenordshashar och genomföra credential stuffing-attacker.

Forskarna gav operationen namnet FortiBleed eftersom kampanjen omfattade en ovanligt stor mängd stulna autentiseringsuppgifter.

Vid den fortsatta utredningen identifierade SOCRadar en Windows-server som ingick i FortiBleed-infrastrukturen.

När forskarna analyserade servern hittade de bevis för att någon med tillgång till infrastrukturen även hade öppnat ransomwaregrupperna INC:s och Lynx interna förhandlingsportaler.

Webbläsarsessioner knyter FortiBleed till Lynx och INC

SOCRadar publicerade skärmbilder som visade aktiva webbläsarsessioner mot administrationspanelerna för båda ransomwaregrupperna.

Panelerna innehöll förhandlingskonversationer mellan angriparna och deras offer under utpressningsförsök.

Enligt forskarna är detta direkta bevis för att minst en person bakom FortiBleed också hade tillgång till ransomwaregruppernas interna system.

Kampanjen är betydligt större än man först trodde

Den senaste utredningen visar att operationen är betydligt mer omfattande än de första analyserna antydde.

SOCRadar identifierade över 200 ytterligare servrar kopplade till kampanjen.

Forskarna hittade också information om offer som senare dök upp på INC:s läcksajt för ransomwareoffer.

Företaget bedömer att operationen består av omkring 20 personer, där olika medlemmar ansvarar för olika delar av verksamheten.

Hundratusentals FortiGate-enheter utsattes

Forskarna uppskattar nu att angriparna riktade in sig på mer än 430 000 FortiGate-brandväggar världen över.

Kampanjen använde enligt utredningen paketavlyssnare på omkring 19 000 enheter för att fånga upp VPN-inloggningar och andra autentiseringsuppgifter direkt från nätverkstrafiken.

Efter att SOCRadar informerat de drabbade organisationerna har antalet komprometterade enheter sjunkit till omkring 11 000.

Utredarna identifierade dessutom cirka 500 servrar som stödde operationen.

Forskare granskar ytterligare attackmetoder

SOCRadar misstänker att angriparna även utnyttjade en tidigare okänd zero day-sårbarhet i Nextcloud för att utöka sin åtkomst efter det första intrånget.

Forskarna har ännu inte offentliggjort några tekniska detaljer om den misstänkta sårbarheten.

Utredningen avslöjade också permanenta bakdörrskonton med användarnamnet ”adminin” på komprometterade system.

Forskarna fortsätter dessutom arbetet med att återställa dekrypteringsnycklar som kan hjälpa framtida ransomwareoffer.

Bakgrund om ransomwaregrupperna

INC har erbjudit ransomware-as-a-service (RaaS) sedan mitten av 2023. Gruppens samarbetspartner har angripit organisationer inom bland annat sjukvård, utbildning, offentlig sektor och flera andra branscher.

Lynx dök upp under mitten av 2024. Många säkerhetsforskare anser att gruppen egentligen är en omprofilering av INC snarare än en helt ny ransomwareorganisation.

SOCRadar planerar att publicera en andra teknisk rapport när utredningen är klar. Rapporten ska innehålla fler komprometteringsindikatorer, ytterligare bevis för kopplingarna och en djupare teknisk analys.

Slutsats

De senaste resultaten kring FortiBleed-kampanjen tyder på att operationen handlade om betydligt mer än att bara samla in inloggningsuppgifter i stor skala. Genom kopplingen till ransomwaregrupperna Lynx och INC tror forskarna att de stulna Fortinet-uppgifterna utgjorde en viktig del av en större strategi för att möjliggöra framtida ransomwareattacker mot organisationer världen över.


0 svar till ”FortiBleed-kampanj för stöld av inloggningsuppgifter kopplas till ransomwaregrupperna Lynx och INC”