Кампанията за събиране на идентификационни данни FortiBleed, която компрометира над 430 000 защитни стени FortiGate по целия свят, директно захранва две активни операции за рансъмуеър като услуга (RaaS) - INC Ransom и Lynx.

Отделът за изследване на заплахите на SOCRadar (STRU) идентифицира оператор с достъп до инфраструктурата на FortiBleed, който активно влиза в панелите за преговори и за двете марки рансъмуеър. Това бележи първата потвърдена връзка между масовата кражба на идентификационни данни от FortiGate и разгръщането на рансъмуеър.

Заплашителният субект действа като брокер за първоначален достъп (Initial Access Broker), внедрявайки персонализиран инструмент, базиран на Golang, наречен FortigateSniffer. Той пасивно прихваща трафика за автентификация, като злоупотребява с вградената команда diagnose sniffer packet във FortiOS за над двадесет протокола.

Разследването разкри около 200 допълнителни оперативни сървъра, свързани със сниферите и скенерите на кампанията. STRU проследи сканираща дейност срещу приблизително 11 250 FortiGate портала в над 150 държави:

  • Потвърден административен достъп при 409 цели
  • Завършена пълна верига на атака (компрометиране на VPN, достъп до домейн контролер, администратор на домейн) при 354 цели
  • Най-малко 12 потвърдени внедрявания на рансъмуеър, с криптирани стотици крайни устройства

Пробив в сигурността на новоидентифициран сървър изложи на показ вътрешната среда на атакуващия, включително регистрационни файлове и оперативна документация, което формира основата за това приписване на атаката. Вътре в изложената среда е намерен оператор, ангажиран в преговори за откуп. INC Ransom работи от средата на 2023 г., докато Lynx, активна около година по-късно, се оценява като еволюирал вариант на INC.

FortiBleed не е изолирана операция за кражба на пароли, а директен източник на данни за активни рансъмуеър икономики. За организациите, използващи FortiGate, излагането на FortiBleed е потенциален предшественик на цялостно внедряване на рансъмуеър.