📰 Informação fresquinha chegando para você!

Leia, comente e fique sempre atualizado!

Apoie esse projeto de divulgacao de noticias! Clique aqui
A recentemente descoberta campanha FortiBleed com motivação financeira foi atribuída às operações de ransomware INC e Lynx, indicando que as credenciais roubadas e verificadas eram destinadas a invasões subsequentes.

“Um operador ligado à infraestrutura do FortiBleed foi encontrado trabalhando ativamente em painéis de negociação para ambos os grupos, vinculando o roubo em massa de credenciais do FortiGate diretamente à implantação de ransomware pela primeira vez”, disse SOCRadar em um novo relatório publicado na quarta-feira.

A empresa disse que rastreou a atividade de varredura em aproximadamente 11.250 portais FortiGate em mais de 150 países, seguida por acesso confirmado em nível de administrador em 409 alvos e conclusão bem-sucedida de toda a cadeia de ataque em 354 deles. Ao todo, pelo menos 12 implantações de ransomware resultaram desse acesso, fazendo com que centenas de endpoints fossem criptografados nas organizações afetadas.

A operação de coleta de credenciais em grande escala, que veio à tona no mês passado, envolveu os atores da ameaça examinando sistematicamente a Internet em busca de dispositivos Fortinet expostos, tentando invadi-los usando combinações de credenciais conhecidas e, em seguida, implantando farejadores de pacotes personalizados para coletar passivamente credenciais e outros dados de autenticação do tráfego de rede.

Estima-se que a campanha tenha como alvo 430.000 firewalls FortiGate em todo o mundo, reunindo mais de 110 milhões de credenciais no processo. A atividade foi exposta após um erro operacional de segurança por parte dos invasores deixar um servidor contendo credenciais roubadas de milhares de dispositivos Fortinet expostos na internet.

Estima-se que o sniffer Golang tenha sido instalado em cerca de 12.000 dispositivos Fortinet, tornando-o um subconjunto do número total de equipamentos de rede visados.

As últimas descobertas do SOCRadar mostram que um operador com acesso à infraestrutura FortiBleed foi encontrado conectado aos painéis de negociação INC Ransom e Lynx, com vítimas listadas pelo INC Ransom sobrepostas aos dados da campanha. Os links são baseados em um dos 200 servidores recém-descobertos associados à infraestrutura FortiBleed que garantem visibilidade de arquivos internos, logs e documentação operacional.

Ensar Seker, diretor de segurança da informação da SOCRadar, disse ao The Hacker News por e-mail que o servidor exposto funcionava como um servidor de teste e coordenação operacional e não era usado para phishing ou coleta de credenciais ativas.

“Ele continha inventários de destino, dados coletados, scripts de automação, arquivos de configuração e artefatos operacionais que indicam que foi usado para coordenar a coleta de credenciais em larga escala contra dispositivos de rede voltados para a Internet”, disse Seker. “Em outras palavras, serviu como parte da infraestrutura de back-end dos invasores, e não como infraestrutura com a qual as vítimas interagiram diretamente.”

Ferramentas, registros e horário de trabalho indicam que a atividade é obra de um agente de ameaça que fala russo e provavelmente opera como um corretor de acesso inicial. Grande parte da segmentação destacou os setores de manufatura, tecnologia e logística na América Latina e nas regiões da Ásia-Pacífico.

A SOCRadar disse ainda ter descoberto um documento interno que indica que se trata de uma operação organizada composta por cerca de 20 pessoas com uma clara divisão de trabalho. “Um pequeno núcleo de operadores líderes conduz a maioria das invasões de alto impacto, apoiado por especialistas e pessoal de suporte”, acrescentou.

Além disso, acredita-se que os atores da ameaça possuam pelo menos uma vulnerabilidade de dia zero no Nextcloud. A empresa de inteligência de ameaças disse que está coordenando ativamente com o fornecedor afetado.

A empresa sediada em Delaware disse que também identificou artefatos relacionados à Citrix que indicam que a atividade provavelmente tem como alvo além dos dispositivos Fortinet. A infraestrutura identificada incluía uma lista de alvos dedicada contendo cerca de 29.000 endereços IP e 37 domínios associados a ambientes Citrix. Isto sugere que o fluxo de trabalho automatizado pode ser reaproveitado para outras tecnologias de acesso remoto.

“Neste estágio, a presença dessas listas de alvos não prova conclusivamente que a coleta de credenciais contra dispositivos Citrix já ocorreu em grande escala”, explicou Seker. "Em vez disso, demonstra um reconhecimento claro e preparações de direcionamento."

"No entanto, dada a sofisticação da infraestrutura e a capacidade comprovada das operadoras de automatizar a coleta de credenciais contra dispositivos Fortinet, as organizações que usam a infraestrutura Citrix voltada para a Internet devem tratar isso como um aviso antecipado e verificar os logs de autenticação, alternar as credenciais expostas quando apropriado, aplicar MFA e monitorar atividades de login anômalas."

A divulgação ocorre no momento em que a eSentire disse ter observado agentes de ameaças explorando uma falha no Fortinet FortiClient EMS (CVE-2026-35616, pontuação CVSS: 9.1) para implantar um ladrão de informações chamado EKZ Stealer contra um cliente.
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #roubo #de #credenciais #fortibleed #vinculado #a #operações #inc #e #lynx #ransomware
🚀 Mais conteúdos incríveis estão por vir, fique atento!

Post a Comment