Yeni keşfedilen ve finansal motivasyonlu FortiBleed kampanyası, INC ve Lynx fidye yazılımı operasyonlarına bağlandı. Bu bağlantı, çalınan kimlik bilgilerinin doğrulanmış olduğunu ve ardından gelen saldırılarda kullanılmak üzere tasarlandığını gösteriyor. SOCRadar tarafından yayınlanan bir rapora göre, FortiBleed altyapısına erişimi olan bir operatörün her iki grubun müzakere panellerinde aktif olduğu tespit edildi. Bu durum, ilk kez toplu FortiGate kimlik bilgisi hırsızlığının doğrudan fidye yazılımı dağıtımına bağlandığını ortaya koyuyor.
SOCRadar, 150'den fazla ülkede yaklaşık 11.250 FortiGate portalına karşı tarama faaliyeti izledi. Bu taramalar sonucunda 409 hedefe yönetici düzeyinde erişim sağlandı ve 354'ünde saldırı zinciri tamamlandı. Toplamda, bu erişimlerden en az 12 fidye yazılımı dağıtımı gerçekleşti ve yüzlerce uç nokta şifrelendi. Geçen ay ortaya çıkan bu büyük çaplı kimlik bilgisi toplama operasyonu, tehdit aktörlerinin internete açık Fortinet cihazlarını sistematik olarak taradığını, bilinen kimlik bilgisi kombinasyonlarını kullanarak bunlara sızmaya çalıştığını ve ardından ağ trafiğinden pasif olarak kimlik bilgilerini ve diğer kimlik doğrulama verilerini toplamak için özel paket dinleyicileri (sniffer) dağıttığını ortaya koydu.
Kampanyanın küresel çapta 430.000 FortiGate güvenlik duvarını hedef aldığı ve bu süreçte 110 milyondan fazla kimlik bilgisinin toplandığı tahmin ediliyor. Saldırganların operasyonel güvenlik hatası sonucu, binlerce Fortinet cihazından çalınan kimlik bilgilerini içeren bir sunucunun internete açık kalmasıyla faaliyet ortaya çıktı. SOCRadar'ın en son bulguları, FortiBleed altyapısına erişimi olan bir operatörün hem INC Ransom hem de Lynx müzakere panellerine giriş yaptığını gösteriyor. INC Ransom tarafından listelenen kurbanların, kampanyadaki verilerle örtüştüğü belirtildi. Bu bağlantılar, FortiBleed altyapısıyla ilişkili 200 yeni keşfedilen sunucudan birine dayanıyor ve bu sunucu, dahili dosyalara, günlüklere ve operasyonel belgelere görünürlük sağlıyor.
Sistem Güvenliği
SOCRadar, tehdit aktörlerinin en az bir Nextcloud sıfır gün açığına sahip olduğuna inanıyor. Ayrıca, Citrix ile ilgili yapılar tespit edildi ve bu, faaliyetlerin Fortinet cihazlarının ötesine geçme potansiyelini gösteriyor. Belirlenen altyapı, Citrix ortamlarıyla ilişkili yaklaşık 29.000 IP adresi ve 37 alan adı içeren özel bir hedef listesi içeriyordu. Bu, otomatik iş akışının diğer uzaktan erişim teknolojileri için yeniden kullanılabileceğini düşündürüyor. SOCRadar, bu hedef listelerinin varlığının, Citrix cihazlarına karşı kimlik bilgisi toplamanın zaten büyük ölçekte gerçekleştiğini kesin olarak kanıtlamadığını, ancak net bir keşif ve hedefleme hazırlığı gösterdiğini vurguluyor.