Siber güvenlik firması SOCRadar'ın Çarşamba günü yayımladığı blog yazısına göre, FortiBleed adı verilen devasa bir kimlik avı kampanyası, INC ransom ve Lynx olarak izlenen iki fidye yazılımı operasyonuyla bağlantılı. Araştırmacılar, FortiBleed altyapısına erişimi olan bir operatörün INC ve Lynx müzakere panellerine giriş yaptığını tespit etti. Bu durum, kampanyanın arkasındaki aktörlerin bu fidye yazılımı çeteleriyle doğrudan bağlantılı olduğunu gösteriyor.
Bazı durumlarda saldırıların, Nextcloud adlı bir içerik işbirliği platformundaki bir güvenlik açığının istismarını içerebileceği belirtiliyor. Analizler devam ettiği için henüz resmi bir uyarı veya CVE numarası yayımlanmadı. SOCRadar CISO'su Ensar Seker, 'Nextcloud sorunu, saldırganların daha geniş operasyonel iş akışının bir parçası olarak, muhtemelen ilk ihlalden sonra genişleme veya altyapı erişimi için kullanılmış gibi görünüyor' dedi. Ancak tüm vakalarda Nextcloud kullanılmadığı ve ihlalin tamamen bu açığa bağlı olmadığı vurgulandı.
Saldırganlar, özel olarak geliştirilmiş Golang tabanlı bir araç kullanarak kimlik doğrulama trafiğini dinliyor. Araştırmacılar, 19.000 Fortinet cihazında trafik dinlemesi tespit ederken, yapılan bildirimler sonrası bu sayı 11.000'e düştü. Saldırganlar 409 hedefe yönetici seviyesinde erişim sağlamış ve 354 hedefi tamamen ele geçirmiş durumda. SOCRadar şu ana kadar 12 fidye yazılımı dağıtımını ve yüzlerce uç noktanın şifrelendiğini doğruladı. Fortinet, geçen ay müşterilerini bilgilendirmek için devlet yetkilileriyle birlikte çalıştığını açıklamıştı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) geçen ay, on binlerce çalınmış Fortinet güvenlik duvarı ve VPN kimlik bilgisi kullanılarak hem devlet hem de özel sektör kuruluşlarının hedef alındığı konusunda uyarıda bulunmuştu. Kampanyanın yaklaşık 20 kişilik bir ekiple yürütüldüğü ve bir ilk erişim komisyoncusu tarafından organize edildiği düşünülüyor. Araştırmacılar, operasyon hakkında daha fazla ayrıntı içeren bir takip raporu üzerinde çalışıyor.