FortiBleed művelet háttere
A SOCRadar vizsgálata egyértelmű kapcsolatot azonosított a FortiBleed művelet és a Lynx/INC Ransomware-as-a-Service között. A kutatók egy, a FortiBleed infrastruktúrához tartozó Windows szervert kompromittáltak, amelynek elemzése során olyan bizonyítékokat találtak, amelyek szerint ugyanaz az operátorjelentkezett be a Lynx és az INC Ransom zsarolóvírus-csoportok tárgyalópaneljeire, miközben ugyanazt az infrastruktúrát használta a FortiGate-eszközökről ellopott hitelesítő adatok kezelésére. A SOCRadar emellett több átfedést is talált a FortiBleed áldozatai és a Lynx/INC által korábban megtámadott szervezetek között, ami arra utal, hogy a megszerzett Fortinet-hozzáféréseket közvetlenül ransomware-támadások előkészítésére használták fel.
A FortiBleed nem elszigetelt hitelesítőadat-gyűjtő kampány, hanem egy professzionálisan szervezett Initial Access Broker – IAB művelet része. A támadók több mint 430 000 internet felől elérhető FortiGate eszközt vizsgáltak át, 11 250 rendszeren végeztek aktív felderítést, 409 célponton szereztek rendszergazdai hozzáférést, és 354 esetben hajtották végre a teljes támadási láncot – a VPN kompromittálásától a tartományi rendszergazdai jogosultság megszerzéséig. A SOCRadar legalább 12 olyan incidenst azonosított, ahol ez közvetlenül Lynx vagy INC ransomware telepítéséhez vezetett, több száz végpont titkosításával. Egy belső dokumentum alapján azt is megállapították, hogy a műveletet egy körülbelül 20 fős, jól szervezett csapat hajtja végre, elkülönített szerepkörökkel. A vizsgálat során olyan nyomokra is bukkantak, amelyek arra utalnak, hogy a csoport egy eddig nem ismert Nextcloud nulladik napi sérülékenységet is használhatott egyes támadásokban, ennek elemzése még folyamatban van.