Наскоро откритата финансово мотивирана кампания FortiBleed беше приписана на операциите на INC и Lynx ransomware, което показва, че откраднатите и потвърдени идентификационни данни са били предназначени за последващи прониквания.

„Оператор, свързан с инфраструктурата на FortiBleed, беше открит активно да работи с панелите за преговори и на двете групи, свързвайки за първи път масовата кражба на идентификационни данни от FortiGate директно с внедряването на рансъмуер“, се казва в нов доклад на SOCRadar, публикуван в сряда.

Компанията заяви, че е проследила сканираща активност срещу приблизително 11 250 FortiGate портала в повече от 150 държави, последвана от потвърден достъп на ниво администратор в 409 цели и успешно завършване на пълната верига на атака в 354 от тях. Общо най-малко 12 внедрявания на рансъмуер са резултат от този достъп, което е довело до криптиране на стотици крайни точки в засегнатите организации.

Мащабната операция по събиране на идентификационни данни, която стана известна миналия месец, включва систематично сканиране на интернет от страна на атакуващите за изложени устройства Fortinet, опити за пробиването им чрез използване на известни комбинации от идентификационни данни и след това внедряване на персонализирани пакети за подслушване (packet sniffers) за пасивно събиране на идентификационни данни и други данни за автентификация от мрежовия трафик.

Смята се, че кампанията е била насочена към 430 000 защитни стени FortiGate в световен мащаб, събирайки над 110 милиона идентификационни данни в процеса. Дейността е била разкрита, след като грешка в оперативната сигурност от страна на атакуващите е оставила изложен в интернет сървър, съдържащ откраднати идентификационни данни от хиляди устройства Fortinet.

Оценява се, че сниферът, разработен на Golang, е бил инсталиран на около 12 000 устройства Fortinet, което го прави подмножество от общия брой на целевото мрежово оборудване.

Последните разкрития от SOCRadar показват, че оператор с достъп до инфраструктурата на FortiBleed е бил вписан както в панелите за преговори на INC Ransom, така и на Lynx, като жертвите, изброени от INC Ransom, съвпадат с данните от кампанията. Връзките се основават на един от 200-те наскоро открити сървъра, свързани с инфраструктурата на FortiBleed, които са осигурили видимост към вътрешни файлове, регистрационни файлове (logs) и оперативна документация.

Инструментите, регистрационните файлове и работното време показват, че дейността е дело на рускоговорящ киберпрестъпник, който вероятно действа като брокер за първоначален достъп (initial access broker). Голяма част от атаките са били насочени към секторите на производството, технологиите и логистиката в Латинска Америка и Азиатско-Тихоокеанския регион.

SOCRadar също така заяви, че е открила вътрешен документ, който показва, че това е организирана операция, състояща се от около 20 души с ясно разделение на труда. „Малко ядро от водещи оператори управлява повечето високорискови прониквания, подпомагано от специалисти и помощен персонал“, се добавя в него.

Освен това се смята, че атакуващите притежават поне една уязвимост от тип „нулев ден“ (zero-day) в Nextcloud. Фирмата за разузнаване на заплахи заяви, че активно координира действията си със засегнатия доставчик.

Разкритието идва в момент, когато eSentire съобщи, че е забелязала как атакуващите експлоатират уязвимост във Fortinet FortiClient EMS (CVE-2026-35616, CVSS оценка: 9.1), за да внедрят софтуер за кражба на информация, наречен EKZ Stealer, срещу клиент в сектора на енергетиката, комуналните услуги и управлението на отпадъци, с крайна цел събиране на идентификационни данни от браузъри, базирани на Chromium, и Firefox, и ексфилтрирането им чрез PowerShell.