FortiBleed kampanyasının izi INC ve Lynx fidye yazılımı operasyonlarına kadar uzanıyor Siber Güvenlik

FortiBleed kampanyasının izi INC ve Lynx fidye yazılımı operasyonlarına kadar uzanıyor

Siber güvenlik firması SOCRadar tarafından Çarşamba günü yayınlanan bir blog yazısına göre, FortiBleed adı verilen devasa bir kimlik bilgisi toplama k...

Siber güvenlik firması SOCRadar tarafından Çarşamba günü yayınlanan bir blog yazısına göre, FortiBleed adı verilen devasa bir kimlik bilgisi toplama kampanyası, INC fidye ve Lynx olarak takip edilen iki hizmet olarak fidye yazılımı operasyonuyla bağlantılı.

Araştırmacılar, FortiBleed altyapısına erişimi olan bir operatörün Lynx'in yanı sıra INC için de müzakere panellerinde oturum açtığının tespit edildiğini söyledi.

Bazı durumlarda saldırılar, Nextcloud adlı içerik işbirliği platformundaki bir güvenlik açığından yararlanılmasını içeriyor olabilir. Analiz halen devam ettiğinden, kamuya yönelik bir tavsiye veya ortak güvenlik açıkları ve maruz kalma sayısı henüz atanmamıştır.

SOCRadar CISO'su Ensar Şeker, Cybersecurity Dive'a şunları söyledi: "Nextcloud sorunu, saldırganların daha geniş operasyonel iş akışının bir parçası olarak kullanılmış gibi görünüyor; muhtemelen ilk uzlaşmanın ardından genişleme veya altyapı erişimi için."

Vakaların tamamı Nextcloud'u içermiyordu ve uzlaşma tamamen sıfır günün istismarına bağlı değildi.

Nasıl Önlem Alınmalı?

Siber Güvenlik ve Altyapı Güvenliği Ajansı geçen ay, bilgisayar korsanlarının on binlerce ele geçirilmiş Fortinet güvenlik duvarı ve sanal özel ağ kimlik bilgilerini kullanarak hem devlet hem de özel sektör kuruluşlarını hedef aldığı konusunda uyardı.

SOCRadar'a göre, kampanyaya bağlı bir operatör, kimlik doğrulama trafiğini engellemek için özel bir Golang tabanlı araç kullanarak ilk erişim aracısı olarak çalışıyor. Hackleme operasyonunda 20 kişinin yer aldığına inanılıyor. Araştırmacılar hala operasyonla ilgili ek ayrıntıları içerecek bir takip raporu üzerinde çalışıyor.

Detaylar ve Etkileri

Araştırmacılar 19.000 Fortinet cihazında trafik koklama olduğunu tespit etti. Bir dizi bildirimin ardından bu rakam 11.000 cihaza düştü.

Fortinet geçen ay kampanya nedeniyle risk altında olabilecek müşterileri bilgilendirmek için hükümet yetkilileriyle birlikte çalıştığını söyledi.

Teknik Analiz

Araştırmacılar, bilgisayar korsanlarının 409 hedefe yönetici düzeyinde erişim elde ettiğini ve 354 hedefin tamamını ele geçirdiğini söyledi. Şu ana kadar SOCRadar 12 fidye yazılımı dağıtımını ve yüzlerce uç noktanın şifrelendiğini doğruladı.

Paylaş: