Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ataque FortiBleed vinculado a INC y Lynx Ransomware


La campaña de robo de credenciales FortiBleed, que ha comprometido a más de 430,000 firewalls FortiGate en todo el mundo, está suministrando datos directamente a dos operaciones de ransomware-as-a-service: INC Ransom y Lynx. La Unidad de Investigación de Amenazas de SOCRadar detectó a un operador con acceso a la infraestructura de FortiBleed iniciando sesión en los paneles de negociación de ambas marcas de ransomware.



La campaña de recolección de credenciales FortiBleed, que ha comprometido más de 430.000 firewalls FortiGate en todo el mundo, está alimentando directamente a dos operaciones activas de ransomware-as-a-service: INC Ransom y Lynx.

La Unidad de Investigación de Amenazas de SOCRadar identificó a un operador con acceso a la infraestructura de FortiBleed que estaba activamente conectado a los paneles de negociación de ambas marcas de ransomware, lo que marca la primera conexión confirmada entre el robo masivo de credenciales de FortiGate y el despliegue de ransomware.

La STRU documentó primero FortiBleed como una operación de recolección de credenciales a gran escala que afecta a más de 430.000 firewalls FortiGate globalmente.

El actor de la amenaza opera como un Bróker de Acceso Inicial, desplegando una herramienta personalizada basada en Golang llamada FortigateSniffer para interceptar pasivamente el tráfico de autenticación, abusando del comando nativo diagnose sniffer packet de FortiOS a través de dos docenas de protocolos.

La investigación continua utilizando Shodan, Censys, Validin y el escaneo interno de bloques de IP reveló aproximadamente 200 servidores operativos adicionales vinculados a los sniffers y escáneres de la campaña. La STRU rastreó la actividad de escaneo contra aproximadamente 11.250 portales FortiGate en más de 150 países:

  • Acceso a nivel de administrador confirmado en 409 objetivos
  • Cadena de ataque completa finalizada (compromiso de VPN, acceso al controlador de dominio, administrador de dominio) en 354 objetivos
  • Al menos 12 despliegues de ransomware confirmados, con cientos de endpoints cifrados

Una brecha de seguridad en un servidor recién identificado expuso el entorno interno del actor, incluyendo registros y documentación operativa, lo que constituye la base de esta atribución.

Conexión con INC y Lynx

Dentro del entorno expuesto, la STRU encontró a un operador interactuando activamente en las negociaciones de rescate en los paneles de INC Ransom y Lynx. INC Ransom ha operado desde mediados de 2023 como uno de los grupos RaaS más prolíficos, mientras que Lynx, activo desde aproximadamente un año después, es ampliamente evaluado como una variante evolucionada de INC.

Este hallazgo está corroborado por el solapamiento de víctimas: al comparar los datos de objetivos de FortiBleed con un directorio abierto vinculado a INC descubierto por separado, se revelaron organizaciones víctimas coincidentes en ambos conjuntos de datos, confirmando de forma independiente una canalización operativa compartida.

La STRU también recuperó un documento de seguimiento interno que detalla qué credenciales se utilizaron, a qué redes se accedió y los resultados de los despliegues de ransomware. El análisis sugiere una operación estructurada de aproximadamente 20 personas, que incluye un pequeño núcleo de operadores principales, especialistas dedicados y soporte junior de back-office.

FortiBleed no es una operación aislada de robo de credenciales; es un alimentador directo de las economías activas de ransomware. Para las organizaciones que utilizan infraestructura FortiGate, la exposición a FortiBleed es ahora más que un riesgo de credenciales; es un precursor potencial de un despliegue completo de ransomware.



Fuentes:
https://cybersecuritynews.com/fortibleed-password-stealing-attack/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.