📰 Informação fresquinha chegando para você!

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
A enorme campanha de roubo de credenciais FortiBleed foi associada às operações de ransomware INC e Lynx, sugerindo que as credenciais roubadas da Fortinet tinham como objetivo alimentar futuras invasões à rede.

No início deste mês, um servidor contendo credenciais roubadas de mais de 73 mil dispositivos Fortinet foi descoberto exposto na internet. Os pesquisadores descobriram que o servidor continha arquivos de configuração baixados do FortiGate, credenciais coletadas de dispositivos comprometidos e infraestrutura usada para quebrar hashes de senha e realizar ataques de preenchimento de credenciais.

A campanha foi apelidada de "FortiBleed" devido ao grande número de credenciais expostas e à operação massiva de roubo de credenciais.



Investigações de acompanhamento da SOCRadar revelaram que a operação usou uma ferramenta personalizada de detecção de pacotes chamada “FortiGate Sniffer” em firewalls FortiGate comprometidos, permitindo que invasores interceptassem credenciais VPN e outros dados de autenticação diretamente do tráfego de rede.

A pesquisa mais recente da Unidade de Pesquisa de Ameaças (STRU) da SOCRadar agora vincula a operação de roubo de credenciais diretamente aos membros dos grupos INC e Lynx de ransomware como serviço (RaaS).

Os pesquisadores disseram ao BleepingComputer que descobriram esse link após identificar um servidor Windows usado como parte da infraestrutura FortiBleed.

“Nossos pesquisadores de ameaças identificaram um servidor Windows pertencente à infraestrutura FortiBleed, que forneceu mais informações sobre o modus operandi dos atores da ameaça”, disse SOCRadar ao BleepingComputer.

“Durante a investigação desse servidor, a análise dos artefatos coletados revelou que o agente da ameaça havia acessado os painéis de negociação de ransomware do grupo de ransomware Lynx/INC.”

SOCRadar compartilhou capturas de tela com o BleepingComputer mostrando sessões do navegador acessando os painéis de administração de ambos os grupos de ransomware. As imagens mostram painéis de negociação contendo bate-papos das vítimas usados ​​durante negociações de ransomware.

Segundo os investigadores, isto fornece evidência direta de que um indivíduo com acesso à infraestrutura FortiBleed também esteve envolvido com as plataformas de negociação dos grupos de ransomware.

A empresa também afirma ter identificado mais de 200 servidores operacionais adicionais além daqueles originalmente associados à campanha, descobriu informações de vítimas coletadas durante o FortiBleed que se sobrepõem a organizações posteriormente listadas no site de vazamento de ransomware INC e descobriu evidências sugerindo que a operação consiste em cerca de 20 membros com funções definidas.

SOCRadar também diz que a campanha foi consideravelmente maior do que se pensava originalmente.

Segundo os pesquisadores, a operação teve como alvo mais de 430 mil firewalls FortiGate em todo o mundo e implantou farejadores de tráfego em aproximadamente 19 mil dispositivos.

Depois de notificar as organizações afetadas, o número caiu para cerca de 11 mil dispositivos comprometidos. Os pesquisadores também afirmam ter identificado cerca de 500 servidores usados ​​pela operação.

Os pesquisadores também acreditam que os invasores exploraram uma vulnerabilidade de dia zero do Nextcloud, anteriormente não divulgada, como parte de suas operações para expandir o acesso após o comprometimento inicial. No entanto, detalhes técnicos ainda não foram divulgados.

SOCRadar também disse ao BleepingComputer que encontrou contas backdoor persistentes usando o nome de usuário “adminin” em sistemas comprometidos e continua os esforços para recuperar chaves de descriptografia de ransomware.

INC Ransom opera como uma plataforma de ransomware como serviço desde meados de 2023, visando organizações de saúde, educação, governo e outros setores em todo o mundo.

O Lynx surgiu em meados de 2024 e é considerado pelos pesquisadores de segurança como uma reformulação da gangue de ransomware INC, em vez de um novo grupo de extorsão.

A SOCRadar afirma que um segundo documento técnico contendo indicadores de comprometimento, evidências de atribuição e análises técnicas adicionais será divulgado assim que a investigação for concluída.









Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o whitepaper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #campanha #de #roubo #de #credenciais #fortibleed #ligada #ao #ransomware #lynx
🚀 Mais conteúdos incríveis estão por vir, fique atento!

Post a Comment