Мащабната кампания за кражба на идентификационни данни FortiBleed е свързана с операциите на зловредния софтуер за откупи (ransomware) INC и Lynx, което предполага, че откраднатите идентификационни данни за Fortinet са били предназначени да подхранят бъдещи мрежови прониквания.

По-рано този месец в интернет беше открит изложен сървър, съдържащ идентификационни данни, откраднати от повече от 73 000 устройства Fortinet. Изследователите установиха, че сървърът съдържа изтеглени конфигурационни файлове на FortiGate, идентификационни данни, събрани от компрометирани устройства, и инфраструктура, използвана за разбиване на хешове на пароли и извършване на атаки тип credential-stuffing (напълване с компрометирани данни).

Кампанията беше наречена „FortiBleed“ поради големия брой изложени идентификационни данни и мащабната операция по тяхното извличане. Последващи разследвания от страна на SOCRadar разкриха, че операцията е използвала персонализиран инструмент за прихващане на пакети (packet-sniffer), наречен „FortiGate Sniffer“, на компрометирани защитни стени FortiGate, което е позволило на нападателите да прихващат VPN идентификационни данни и други данни за удостоверяване директно от мрежовия трафик.

Най-новото проучване на звеното за изследване на заплахите на SOCRadar (STRU) сега обвързва операцията по кражба на данни директно с членове на групите за ransomware-as-a-service (RaaS) INC и Lynx. Изследователите откриха тази връзка, след като идентифицираха Windows сървър, използван като част от инфраструктурата на FortiBleed, през който е осъществяван достъп до панелите за преговори за откупи на двете групи.

Според изследователите кампанията е значително по-голяма, отколкото се смяташе първоначално. Операцията е била насочена към над 430 000 защитни стени FortiGate по целия свят, като са внедрени снифери на трафик на приблизително 19 000 устройства. Предполага се също, че нападателите са експлоатирали неуведомена досега уязвимост от тип „нулев ден“ (zero-day) в Nextcloud като част от своите операции за разширяване на достъпа след първоначалното компрометиране.

В компрометираните системи са открити постоянни акаунти за заден вход (backdoor) с потребителско име "adminin", като същевременно продължават усилията за възстановяване на ключове за декриптиране.