Kampanye pencurian kredensial FortiBleed secara besar-besaran telah dikaitkan dengan operasi ransomware INC dan Lynx, yang menunjukkan bahwa kredensial Fortinet yang dicuri dimaksudkan untuk memicu intrusi jaringan di masa depan.
Awal bulan ini, server berisi kredensial yang dicuri dari lebih dari 73.000 perangkat Fortinet ditemukan terekspos di internet. Para peneliti menemukan server berisi file konfigurasi FortiGate yang diunduh, kredensial yang diambil dari perangkat yang disusupi, dan infrastruktur yang digunakan untuk memecahkan hash kata sandi dan melakukan serangan pengisian kredensial.
Kampanyenya adalah dijuluki “FortiBleed” karena banyaknya kredensial yang terekspos dan operasi pencurian kredensial yang masif.
Investigasi lanjutan oleh SOCRadar mengungkapkan bahwa operasi menggunakan alat pengendus paket khusus disebut “FortiGate Sniffer” pada firewall FortiGate yang disusupi, memungkinkan penyerang mencegat kredensial VPN dan data autentikasi lainnya langsung dari lalu lintas jaringan.
Unit Penelitian Ancaman (STRU) SOCRadar penelitian terbaru sekarang menghubungkan operasi pencurian kredensial langsung ke anggota kelompok ransomware-as-a-service (RaaS) INC dan Lynx.
Para peneliti mengatakan kepada BleepingComputer bahwa mereka menemukan tautan ini setelah mengidentifikasi server Windows yang digunakan sebagai bagian dari infrastruktur FortiBleed.
“Peneliti ancaman kami mengidentifikasi server Windows milik infrastruktur FortiBleed, yang memberikan wawasan lebih lanjut tentang modus operandi pelaku ancaman,” kata SOCRadar kepada BleepingComputer.
“Selama penyelidikan server tersebut, analisis artefak yang dikumpulkan mengungkapkan bahwa pelaku ancaman telah mengakses panel negosiasi ransomware dari grup ransomware Lynx/INC.”
SOCRadar membagikan tangkapan layar dengan BleepingComputer yang menunjukkan sesi browser mengakses panel administrasi untuk kedua kelompok ransomware. Gambar tersebut menunjukkan dasbor negosiasi yang berisi obrolan korban yang digunakan selama negosiasi ransomware.
Menurut para peneliti, hal ini memberikan bukti langsung bahwa seseorang yang memiliki akses ke infrastruktur FortiBleed juga terlibat dengan platform negosiasi kelompok ransomware.
Perusahaan juga mengatakan telah mengidentifikasi lebih dari 200 server operasional tambahan di luar yang awalnya terkait dengan kampanye tersebut, menemukan informasi korban yang dikumpulkan selama FortiBleed yang tumpang tindih dengan organisasi yang kemudian terdaftar di situs kebocoran ransomware INC, dan menemukan bukti yang menunjukkan bahwa operasi tersebut terdiri dari sekitar 20 anggota dengan peran yang ditentukan.
SOCRadar juga mengatakan kampanye tersebut jauh lebih besar dari perkiraan semula.
Menurut para peneliti, operasi tersebut menargetkan lebih dari 430.000 firewall FortiGate di seluruh dunia dan menyebarkan pelacak lalu lintas di sekitar 19.000 perangkat.
Setelah memberi tahu organisasi yang terkena dampak, jumlahnya turun menjadi sekitar 11.000 perangkat yang disusupi. Para peneliti juga mengatakan mereka mengidentifikasi sekitar 500 server yang digunakan dalam operasi tersebut.
Para peneliti juga yakin para penyerang mengeksploitasi kerentanan zero-day Nextcloud yang sebelumnya tidak diungkapkan sebagai bagian dari operasi mereka untuk memperluas akses setelah kompromi awal. Namun rincian teknisnya belum dirilis.
SOCRadar juga mengatakan kepada BleepingComputer bahwa mereka menemukan akun pintu belakang yang persisten menggunakan nama pengguna “adminin” pada sistem yang disusupi dan terus berupaya memulihkan kunci dekripsi ransomware.
INC Ransom telah beroperasi sebagai platform ransomware-as-a-service sejak pertengahan tahun 2023, menargetkan organisasi di bidang layanan kesehatan, pendidikan, pemerintahan, dan sektor lainnya di seluruh dunia.
Lynx muncul pada pertengahan tahun 2024 dan sekarang diyakini oleh para peneliti keamanan untuk menjadi rebranding dari geng ransomware INC dan bukannya kelompok pemerasan baru.
SOCRadar mengatakan buku putih teknis kedua yang berisi indikator kompromi, bukti atribusi, dan analisis teknis tambahan akan dirilis setelah penyelidikannya selesai.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.








