Campanha FortiBleed expõe credenciais de 73 mil dispositivos Fortinet
A campanha de roubo de credenciais FortiBleed, que comprometeu mais de 73 mil dispositivos Fortinet, está ligada a operações de ransomware dos grupos INC e Lynx. Um servidor exposto na internet continha arquivos de configuração do FortiGate e credenciais coletadas de dispositivos comprometidos. A SOCRadar, responsável pela investigação, revelou que os atacantes utilizaram uma ferramenta personalizada chamada ‘FortiGate Sniffer’ para interceptar dados de autenticação, como credenciais de VPN, diretamente do tráfego de rede. A análise de um servidor Windows associado à infraestrutura do FortiBleed revelou acesso a painéis de negociação de ransomware, indicando que os atores de ameaça estavam diretamente envolvidos com as operações de extorsão. A campanha, que inicialmente afetou mais de 430 mil firewalls FortiGate, agora tem cerca de 11 mil dispositivos comprometidos. Além disso, os pesquisadores acreditam que uma vulnerabilidade zero-day do Nextcloud foi explorada para expandir o acesso após a invasão inicial. A SOCRadar planeja lançar um documento técnico adicional com mais detalhes sobre as evidências e indicadores de comprometimento.
