A campanha de roubo de credenciais FortiBleed, que comprometeu mais de 73 mil dispositivos Fortinet, está ligada a operações de ransomware dos grupos INC e Lynx. Um servidor exposto na internet continha arquivos de configuração do FortiGate e credenciais coletadas de dispositivos comprometidos. A SOCRadar, responsável pela investigação, revelou que os atacantes utilizaram uma ferramenta personalizada chamada ‘FortiGate Sniffer’ para interceptar dados de autenticação, como credenciais de VPN, diretamente do tráfego de rede. A análise de um servidor Windows associado à infraestrutura do FortiBleed revelou acesso a painéis de negociação de ransomware, indicando que os atores de ameaça estavam diretamente envolvidos com as operações de extorsão. A campanha, que inicialmente afetou mais de 430 mil firewalls FortiGate, agora tem cerca de 11 mil dispositivos comprometidos. Além disso, os pesquisadores acreditam que uma vulnerabilidade zero-day do Nextcloud foi explorada para expandir o acesso após a invasão inicial. A SOCRadar planeja lançar um documento técnico adicional com mais detalhes sobre as evidências e indicadores de comprometimento.
Fonte: https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
01/07/2026 • Risco: ALTO
VAZAMENTO
Campanha FortiBleed expõe credenciais de 73 mil dispositivos Fortinet
RESUMO EXECUTIVO
O incidente FortiBleed representa uma ameaça significativa para organizações que utilizam dispositivos Fortinet, com um grande número de credenciais expostas e um potencial impacto financeiro e de conformidade considerável. A exploração de vulnerabilidades e o envolvimento com grupos de ransomware aumentam a urgência para ações corretivas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido a interrupções e extorsões.
Operacional
Roubo de credenciais e comprometimento de dispositivos, com potencial para futuras intrusões.
Setores vulneráveis
['Saúde', 'Educação', 'Governo']
📊 INDICADORES CHAVE
73 mil dispositivos Fortinet comprometidos
Indicador
430 mil firewalls FortiGate inicialmente afetados
Contexto BR
Mais de 200 servidores operacionais identificados
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e autenticação em dispositivos Fortinet.
2
Implementar medidas de segurança adicionais, como autenticação multifator.
3
Monitorar tráfego de rede em busca de atividades suspeitas e tentativas de acesso não autorizado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas redes, especialmente se utilizam tecnologias Fortinet, que estão sob ataque ativo.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD devido ao vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).