Campanha FortiBleed liga roubo massivo de credenciais FortiGate às operações de ransomware INC e Lynx

Campanha FortiBleed liga roubo massivo de credenciais FortiGate às operações de ransomware INC e Lynx

Monitoramento de infraestrutura do FortiBleed revela acesso administrativo em centenas de alvos, cadeia completa de ataque em 354 organizações e pelo menos 12 implantações de ransomware com centenas de endpoints criptografados.

ComponentePortais e firewalls FortiGate expostos na internet, infraestrutura operacional da campanha FortiBleed, painéis de negociação das famílias INC Ransom e Lynx, e ambiente FortiClient EMS quando correlacionado ao caso CVE-2026-35616 observado separadamente
VetorVarredura sistemática de dispositivos Fortinet expostos, tentativas de acesso com combinações de credenciais conhecidas, obtenção de privilégio administrativo e implantação de sniffer passivo em Golang para capturar credenciais e dados de autenticação do tráfego de rede
ImpactoAcesso administrativo confirmado em 409 alvos, conclusão da cadeia completa de ataque em 354 deles, coleta estimada de mais de 110 milhões de credenciais a partir de cerca de 430.000 firewalls visados, instalação do sniffer em aproximadamente 12.000 aparelhos e pelo menos 12 implantações de ransomware que resultaram na criptografia de centenas de endpoints
PrioridadeRotacionar credenciais administrativas e de usuários potencialmente expostos, reforçar superfície de portais FortiGate, caçar implantação de sniffers e tráfego anômalo em appliances Fortinet, e correlacionar ativos internos com vítimas listadas em painéis de negociação INC e Lynx
ArtefatosSniffer customizado escrito em Golang, servidores de infraestrutura FortiBleed — incluindo um entre cerca de 200 recém-identificados com visibilidade de arquivos internos, registros e documentação operacional — e, em caso correlato separado, EKZ Stealer implantado via exploração de FortiClient EMS
IoCsAtividade de varredura contra aproximadamente 11.250 portais FortiGate em mais de 150 países; sobreposição entre vítimas listadas pelo INC Ransom e dados da campanha; servidor exposto por erro operacional dos atacantes contendo credenciais roubadas de milhares de appliances Fortinet
Resumo técnico

A campanha FortiBleed, descrita como movida por motivação financeira e revelada no mês anterior, passou a ser atribuída às operações de ransomware INC e Lynx com base em evidências que conectam a infraestrutura de coleta de credenciais ao pós-comprometimento extorsivo. O elo central é operacional: um ator com acesso à infraestrutura FortiBleed foi observado autenticado simultaneamente nos painéis de negociação de INC Ransom e Lynx, e a lista de vítimas do INC Ransom apresenta sobreposição com dados associados à campanha. Essa correlação estabelece, pela primeira vez de forma documentada no relatório analisado, uma ligação direta entre o roubo massivo de credenciais em appliances FortiGate e a implantação subsequente de ransomware.

O monitoramento registrou varredura contra cerca de 11.250 portais FortiGate distribuídos em mais de 150 países. Dessa atividade resultou acesso administrativo confirmado em 409 alvos e a conclusão bem-sucedida da cadeia completa de ataque em 354 organizações. Pelo menos 12 implantações de ransomware derivaram desse acesso, com centenas de endpoints criptografados no conjunto das vítimas afetadas. Em escala mais ampla, a operação teria visado aproximadamente 430.000 firewalls FortiGate globalmente e acumulado mais de 110 milhões de credenciais. O sniffer em Golang — componente passivo de captura — teria sido instalado em cerca de 12.000 dispositivos Fortinet, subconjunto do universo total de equipamentos de rede perseguidos.

A exposição inicial da campanha decorreu de um erro de segurança operacional dos próprios atacantes, que deixou acessível na internet um servidor contendo credenciais roubadas de milhares de appliances Fortinet. Análises posteriores identificaram cerca de 200 servidores novos ligados à infraestrutura FortiBleed; um deles forneceu visibilidade sobre arquivos internos, registros e documentação operacional que sustentam a atribuição. Indícios de ferramentas, registros e horários de trabalho apontam para um ator de língua russa que provavelmente atua como corretor de acesso inicial. Documentação interna recuperada sugere uma operação organizada com cerca de 20 pessoas e divisão clara de funções, com um núcleo reduzido de operadores principais conduzindo as intrusões de maior impacto e equipes de suporte especializadas.

Além do ecossistema Fortinet, os mesmos atores seriam detentores de pelo menos uma vulnerabilidade zero-day em Nextcloud, com coordenação ativa junto ao fornecedor afetado. Em desenvolvimento paralelo e não necessariamente integrado ao FortiBleed, foi relatada exploração de falha em Fortinet FortiClient EMS identificada como CVE-2026-35616, com pontuação CVSS 9.1, para implantar o information stealer EKZ Stealer em cliente do setor de energia, utilidades e resíduos, com objetivo de coletar credenciais de navegadores baseados em Chromium e Firefox e exfiltrá-las por meio de scripts PowerShell.

Fluxo técnico

A cadeia observada inicia com reconhecimento em larga escala: varredura automatizada da internet em busca de dispositivos Fortinet expostos, com foco particular em portais FortiGate acessíveis externamente. Sobre essa superfície, os operadores aplicam combinações de credenciais conhecidas — técnica típica de força credencial ou reutilização de segredos vazados — até obter sessão com privilégios administrativos no appliance. O acesso administrativo não encerra a operação; ele habilita a implantação de um sniffer passivo desenvolvido em Golang, projetado para interceptar credenciais e demais artefatos de autenticação diretamente do tráfego de rede que transita pelo firewall comprometido.

A captura passiva amplia o valor do comprometimento inicial porque não depende apenas das credenciais do próprio appliance: o dispositivo passa a funcionar como ponto de observação na borda da rede da vítima, acumulando material autenticável que pode ser reutilizado em sistemas internos, VPNs, portais corporativos e outros serviços visíveis no fluxo monitorado. As credenciais verificadas e validadas alimentam intrusões subsequentes conduzidas pelo mesmo ecossistema criminoso ou por parceiros de extorsão. A ponte para ransomware ocorre quando credenciais e acessos obtidos via FortiBleed são convertidos em implantação de cargas de criptografia nas operações INC e Lynx.

A atribuição entre FortiBleed e essas famílias baseia-se em evidência de painel: presença ativa de um operador vinculado à infraestrutura FortiBleed nos ambientes de negociação de ambos os grupos, com correspondência entre vítimas nomeadas pelo INC Ransom e o conjunto de dados da campanha de roubo de credenciais. Essa convergência indica que o roubo em massa não era um fim em si, mas insumo deliberado para acesso inicial e desdobramento extorsivo. A estrutura operacional descrita — equipe numerosa, papéis especializados e núcleo de operadores de alto impacto — é consistente com um modelo de broker de acesso que monetiza credenciais validadas e depois as repassa ou reutiliza em cadeias de ransomware.

No vetor paralelo envolvendo FortiClient EMS, a exploração de CVE-2026-35616 permitiu implantar EKZ Stealer em ambiente de endpoint gerenciado, deslocando a coleta do perímetro FortiGate para estáções de trabalho onde navegadores concentram credenciais de sessão. A exfiltração via PowerShell indica abuso de ferramentas legítimas de automação já presentes em ambientes Windows para mover dados roubados sem depender exclusivamente de canais C2 proprietários. Embora compartilhe o tema de roubo de credenciais, esse incidente deve ser tratado como linha tática distinta até que exista evidência explícita de união operacional com a infraestrutura FortiBleed.

Superfície afetada

A campanha concentra pressão sobre appliances Fortinet — especialmente firewalls FortiGate com portais administrativos expostos à internet — e sobre organizações cujas credenciais transitaram por dispositivos onde o sniffer em Golang foi implantado. O recorte geográfico da varredura abrange mais de 150 países; setores com maior incidência relatada incluem manufatura, tecnologia e logística, com ênfase em América Latina e região Ásia-Pacífico. O universo de alvos potenciais estimado em 430.000 firewalls e o subconjunto de aproximadamente 12.000 com sniffer instalado definem duas camadas de exposição: dispositivos apenas sondados ou autenticados com sucesso parcial, e dispositivos com capacidade ativa de captura de tráfego.

As 409 confirmações de acesso administrativo e as 354 conclusões de cadeia completa representam organizações onde o comprometimento evoluiu além da mera coleta perimetral. Pelo menos 12 desses casos escalaram para implantação de ransomware INC ou Lynx, com impacto materializado na criptografia de centenas de endpoints corporativos. A menção a uma zero-day em Nextcloud amplia o raio de preocupação para ambientes de compartilhamento de arquivos que possam compartilhar o mesmo ecossistema de atores, embora os detalhes técnicos da falha não estejam descritos no material disponível.

No caso FortiClient EMS, a superfície inclui estáções gerenciadas pela solução de endpoint da Fortinet em organizações do setor de energia, utilidades e resíduos, com foco em credenciais armazenadas ou em uso em navegadores Chromium e Firefox. A combinação de appliance de perímetro comprometido e endpoint gerenciado explorado ilustra como credenciais roubadas em diferentes camadas podem alimentar o mesmo objetivo de acesso inicial, mesmo quando os vetores técnicos diferem.

  • Portais FortiGate expostos publicamente e firewalls FortiGate em mais de 150 países
  • Aproximadamente 12.000 appliances Fortinet com sniffer passivo em Golang instalado
  • 409 alvos com acesso administrativo confirmado e 354 com cadeia de ataque completa
  • Organizações de manufatura, tecnologia e logística na América Latina e Ásia-Pacífico
  • Ambientes FortiClient EMS vulneráveis a CVE-2026-35616 em cenário de implantação de EKZ Stealer
  • Instâncias Nextcloud potencialmente afetadas por zero-day atribuída ao mesmo ecossistema de atores
Hunting e telemetria

Equipes de segurança devem priorizar a detecção de varredura e tentativas de autenticação anômalas contra interfaces administrativas de FortiGate, correlacionando picos de tráfego de origem externa com falhas repetidas de login seguidas de sucesso administrativo. Em appliances comprometidos, a presença de processos ou binários não documentados associados a captura de pacotes — especialmente componentes em Golang sem linha de base conhecida — constitui indicador de alta fidelidade para a segunda fase da campanha. Logs de sistema do FortiGate, tráfego de gerenciamento e snapshots de configuração devem ser comparados com estado conhecido pré-incidente para identificar persistência ou módulos adicionados após o acesso inicial.

No plano de identidade e resposta a incidentes, credenciais que apareceram em conjuntos vazados ligados a appliances Fortinet — incluindo os volumes expostos por erro operacional dos atacantes — devem disparar rotação forçada e revisão de sessões ativas em VPN, SSO e aplicações críticas. Para organizações que constam ou possam constar em listas de negociação de INC Ransom ou Lynx, a correlação entre timestamps de primeiro acesso administrativo no firewall e eventos de movimentação lateral interna ajuda a reconstruir a linha do tempo entre roubo de credenciais e preparação para ransomware.

Em endpoints gerenciados por FortiClient EMS, a exploração de CVE-2026-35616 deve ser caçada por execuções suspeitas de PowerShell com padrões de exfiltração, criação de processos filhos atípicos e acessos a perfis de navegadores Chromium e Firefox fora do horário ou do contexto do usuário legítimo. Indicadores de EKZ Stealer incluem coleta concentrada de dados de armazenamento local de credenciais de navegador seguida de transferência de arquivos ou streams codificados. Em ambientes Nextcloud, até a divulgação coordenada da zero-day mencionada, a postura deve incluir monitoramento intensificado de autenticação, uploads anômalos e atividade de contas privilegiadas.

  • Picos de varredura contra portais FortiGate a partir de infraestrutura externa concentrada
  • Sequência de falhas de login com credenciais conhecidas seguida de sessão administrativa bem-sucedida
  • Processos ou binários em Golang não previstos na imagem padrão do appliance
  • Tráfego de captura ou espelhamento interno inconsistente com políticas de monitoramento aprovadas
  • Credenciais corporativas presentes em vazamentos associados a appliances Fortinet identificados na campanha
  • Execução PowerShell com comportamento de exfiltração após exploração de FortiClient EMS
  • Sobreposição entre ativos internos e vítimas nomeadas em painéis de negociação INC ou Lynx
Mitigação

A resposta imediata para organizações com FortiGate exposto começa pelo endurecimento da superfície administrativa: restringir acesso de gerenciamento a origens confiáveis, exigir autenticação multifator em todas as contas privilegiadas, eliminar portais desnecessários na internet e aplicar políticas de bloqueio geográfico quando compatível com a operação. Credenciais que possam ter transitado por appliances comprometidos ou que constem em conjuntos ligados ao FortiBleed devem ser rotacionadas de forma ampla, incluindo contas reutilizadas em outros sistemas. Appliances sob suspeita de comprometimento administrativo exigem análise forense, restauração a partir de imagem íntegra ou substituição controlada, e validação de que o sniffer passivo não permanece ativo.

Para as aproximadamente 354 organizações no espectro de cadeia completa — e para qualquer ambiente com indícios de acesso administrativo confirmado — a contenção deve assumir preparação para ransomware: isolamento segmentado, backup offline verificado, desativação de contas com privilégio excessivo e caça ativa a ferramentas de implantação nas horas que sucedem o comprometimento de perímetro. A correlação com painéis INC e Lynx reforça que o roubo de credenciais é provável prelúdio de extorsão, não apenas espionagem passiva.

No eixo FortiClient EMS, a mitigação passa pela aplicação emergencial de correções ou medidas compensatórias para CVE-2026-35616 conforme orientação do fornecedor, revisão de postura de EMS e inspeção de endpoints no setor afetado para remoção de EKZ Stealer e rotação de credenciais de navegador e aplicações. Em Nextcloud, equipes devem acompanhar advisories coordenados decorrentes da divulgação responsável da zero-day atribuída ao grupo, mantendo inventário de instâncias e plano de patch prioritário quando detalhes técnicos forem publicados. A coordenação entre equipes de rede, endpoint, identidade e resposta a incidentes é essencial porque a campanha combina comprometimento de borda, coleta passiva de autenticação e monetização via ransomware em um único ecossistema operacional.

  • Restringir e monitorar acesso administrativo a FortiGate; eliminar exposição desnecessária de portais
  • Rotacionar credenciais potencialmente capturadas por sniffers ou presentes em vazamentos da campanha
  • Inspecionar appliances Fortinet em busca de binários em Golang e atividade de captura de pacotes não autorizada
  • Assumir risco iminente de ransomware quando houver acesso administrativo confirmado ou sobreposição com vítimas INC ou Lynx
  • Aplicar correção ou controle compensatório para CVE-2026-35616 em FortiClient EMS e caçar implantações de EKZ Stealer
  • Acompanhar divulgação coordenada da zero-day em Nextcloud e preparar ciclo de patch acelerado

Postar um comentário

0 Comentários