Исследователи SOCRadar связали масштабную кампанию FortiBleed с вымогательскими группировками INC Ransom и Lynx. По данным экспертов, учетные данные, похищенные с устройств FortiGate, затем использовались для проникновения в корпоративные сети, и как минимум 12 атак закончились шифрованием сотен систем.

Напомним, эта история началась в конце июня 2026 года, когда ИБ-специалист Боб Дьяченко (Bob Diachenko) обнаружил в сети открытый сервер с базой данных, в которой содержались URL-адреса десятков тысяч устройств FortiGate и Fortinet VPN, логины, email-адреса и пароли в открытом виде.

Как выяснилось после этого, кампания, получившая название FortiBleed, длится как минимум с февраля 2026 года. Злоумышленники массово сканировали интернет в поисках устройств Fortinet и использовали для входа дефолтные логины и пароли (также нередко на устройствах использовались учетные данные, ранее скомпрометированные в результате утечек). Если атака удавалась, на устройства устанавливали написанный на Go сниффер FortigateSniffer, который перехватывает проходящий через файрволы трафик, извлекает учетные данные, хеши паролей и другую информацию.

Также исследователи обнаружили признаки подготовки атак на другие системы. Так, в инфраструктуре FortiBleed хранился список из 29 000 IP-адресов и 37 доменов, связанных со средами Citrix. Это не говорит о том, что массовый сбор учетных данных с устройств Citrix уже начался, однако указывает на проведение активной разведки.

По оценке специалистов, целями хакеров стали более 430 000 брандмауэров FortiGate по всему миру, и злоумышленники собрали свыше 110 млн учетных данных, а сниффер установили примерно на 12 000 устройств.

Как сообщают аналитики SOCRadar в новом отчете, им удалось отследить сканирование около 11 250 порталов FortiGate более чем в 150 странах. При этом хакеры получили административный доступ к 409 устройствам, и в 354 случаях развили атаку дальше: скомпрометировали VPN, добрались до контроллера домена и получили права администратора домена

Подчеркивается, что в 12 случаях полученный хакерами доступ в итоге использовался для развертывания шифровальщиков, и в пострадавших организациях были зашифрованы сотни конечных устройств.

Исследователи пишут, что связать кампанию FortiBleed с вымогателями помогла ошибка самих хакеров. Так, один из 200 обнаруженных серверов злоумышленников оказался доступен из интернета и содержал внутренние файлы, логи, скрипты автоматизации, списки целей и рабочую документацию преступников. Этот сервер использовался для подготовки атак и координации операций, а не для фишинга или непосредственного сбора учетных данных.

На сервере исследователи выявили следы работы оператора, который имел доступ к внутренним системам INC и Lynx, где вымогатели общаются со своими жертвами. Кроме того, выяснилось, что некоторые организации из базы FortiBleed фигурируют в списках жертв шифровальщика INC.

«Это явное доказательство того, что учетные данные, похищенные в рамках FortiBleed, передавались вымогателям или напрямую использовались для развертывания шифровальщиков», — заключают специалисты.

В отчете отмечается, что обнаруженные инструменты, логи и рабочий график злоумышленников указывают на русскоязычных операторов. Причем, вероятнее всего, речь идет о брокере доступов, который компрометирует сети организаций, а затем передает информацию о них другим преступникам.

Анализ внутренних документов злоумышленников показал, что в операции участвуют примерно 20 человек: небольшая группа операторов отвечает за наиболее серьезные атаки, а остальные скорее занимаются технической поддержкой и обслуживанием инфраструктуры. Основными целями хакеров были производственные, технологические и логистические компании из стран Латинской Америки и Азиатско-Тихоокеанского региона.

Кроме того, теперь специалисты полагают, что в распоряжении операторов FortiBleed есть как минимум одна 0-day-уязвимость в Nextcloud, и представители SOCRadar уже передали собранные данные разработчикам платформы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии